文章总结： 威胁组织TGR-STA-1030发起影子行动入侵37国政府及关键基础设施窃取敏感数据。该组织利用VShell、Havoc等C2框架及新型Linux内核rootkitShadowGuard，借助eBPF技术隐藏恶意活动，并租用合法VPS基础设施。建议加强对eBPF异常行为的监控与审计。 综合评分： 84 文章分类： 威胁情报,恶意软件,网络安全,内网渗透,漏洞分析

不明威胁组织入侵37个国家的关键网络，工具包中含一个新的 Linux 内核 rootkit

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年2月6日 09:15 中国台湾

导读

据 Palo Alto Networks 旗下 Unit 42 威胁情报部门称，一个可能在亚洲活动的复杂国家级威胁组织正在进行大规模的网络间谍活动，该活动已导致 36 个国家的政府和关键基础设施组织遭受攻击，并且在 2025 年的最后两个月里，该组织加大了活动力度。

Unit 42 的研究人员正在追踪代号为 TGR-STA-1030 的黑客组织，并将他们的活动称为“影子行动”。

他们追踪到该组织的架构至少可以追溯到 2024 年 1 月，并在过去一年中发现该组织入侵了五个国家级执法和边境管制机构、三个财政部和其他政府部门，以及世界各地涉及经济、贸易、自然资源和外交等职能的其他部门。

这些袭击已蔓延至 37 个国家，在 2025 年 11 月至 12 月期间，该威胁组织被发现对 155 个基础设施进行了侦察。

Palo Alto Networks Unit 42安全研究人员称，攻击者已成功访问并窃取了受害者电子邮件服务器上的敏感数据。这些数据包括财务谈判和合同、银行和账户信息，以及重要的军事行动。

网络调查小组并未将此次网络入侵事件归咎于某个特定国家。

TGR-STA-1030 使用的工具包括多个命令与控制 (C2) 框架，例如 VShell、Havoc、SparkRat 和 Sliver，以及 Behinder、Neo-reGeorg 和 Godzilla 等 web shell，用于维持访问权限并在受损网络中横向移动，以及在 C2 基础设施和受损网络中使用的隧道——GO Simple Tunnel (GOST)、Fast Reverse Proxy Server (FRPS) 和 IOX。

该威胁组织还使用了ShadowGuard，这是一种由Unit 42发现的新型Linux内核rootkit。该后门利用扩展伯克利数据包过滤器（eBPF）在内核级别隐藏其活动，包括隐藏进程详细信息。它通过自定义终止信号拦截关键系统调用，从而识别需要隐藏的进程；它还包含一个针对名为“swsecret”的目录和文件的硬编码检查；此外，它还具有一个允许列表机制，用于排除列表中的进程，使其不受隐藏功能的影响。

为了开展行动，TGR-STA-1030 使用从合法虚拟专用服务器 (VPS) 提供商租用的基础设施运行和配置 C2 服务器，这使其区别于其他使用安全可靠提供商或位于偏远地区的类似恶意组织。他们通常选择位于美国、英国和新加坡的虚拟服务器，以使基础设施看起来更合法，并增加当地执法机构调查该组织的难度，因为跨部门合作至关重要。

该集团租用其他 VPS 基础设施来转发其网络流量，并使用代理来使连接对转发基础设施匿名。

技术报告：

https://unit42.paloaltonetworks.com/shadow-campaigns-uncovering-global-espionage/

新闻链接：

https://www.theregister.com/2026/02/05/asia_government_spies_hacked_37_critical_networks/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《不明威胁组织入侵37个国家的关键网络，工具包中含一个新的 Linux 内核 rootkit》