美国安全公司宣称一个与我国结盟的黑客组织（TA415），造谣实施了针对美政府、智库和学术机构的鱼叉式钓鱼攻击活动，谣言还称这些活动利用中美经济主题为诱饵。

美国安全公司Proofpoint在一份分析报告中表示：“在此次活动中，宣称该团伙冒充美国与我国战略竞争特别委员会主席以及美中贸易全国委员会，针对一系列主要关注美中关系、贸易和经济政策的个人及组织。”

这家企业安全公司表示，2025年7月至8月期间观察到的这一活动，可能是中国国家支持的威胁行为者为在持续的美中贸易谈判中促进情报收集所做的努力，并补充称该黑客组织与广泛追踪的威胁集群APT41和“黄铜台风”（前身为“钡”）存在重叠。

这些发现公布的几天前，美国众议院中国问题特别委员会发布了一份咨询警告，称存在一系列“持续进行的”、针对性极强的网络间谍活动，这些活动与中国威胁行为体有关联，其中包括一项活动：在钓鱼邮件中冒充共和党国会议员约翰·罗伯特·穆勒纳尔，目的是传播窃取数据的恶意软件。

据Proofpoint称，该活动主要针对专门从事国际贸易、经济政策以及美中关系的人士，向他们发送仿冒美中贸易全国委员会的电子邮件，邀请他们参加一场所谓关于美台及美中事务的闭门简报会。

这些信息是通过电子邮件地址“uschina@zohomail[.]com”发送的，同时还借助Cloudflare WARP VPN服务来隐藏活动的来源。其中包含指向受密码保护的压缩文件的链接，这些压缩文件托管在Zoho WorkDrive、Dropbox和OpenDrive等公共云共享服务上，里面有一个Windows快捷方式（LNK）以及隐藏文件夹中的其他文件。

LNK文件的主要功能是在隐藏文件夹中执行批处理脚本，并向用户显示一个PDF文档作为诱饵。在后台，该批处理脚本会执行一个名为WhirlCoil的混淆Python加载器，该加载器也存在于压缩包中。

Proofpoint指出：“此感染链的早期变体从Pastebin等粘贴网站下载WhirlCoil Python加载器，并直接从Python官方网站下载Python包。”

该脚本还被设计用于设置一个计划任务（通常命名为GoogleUpdate或MicrosoftHealthcareMonitorNode），以每两小时运行一次加载程序，从而实现持久化。如果用户对受感染主机拥有管理员权限，该任务还会以SYSTEM权限运行。

随后，该Python加载器会建立一个Visual Studio Code远程隧道，以建立持久的后门访问，并收集系统信息和各种用户目录的内容。这些数据和远程隧道验证码会以HTTP POST请求正文中base64编码块的形式发送到一个免费的请求日志服务（例如requestrepo[.]com）。

Proofpoint表示：“借助这段代码，威胁行为者能够对VS Code远程隧道进行身份验证，并通过目标主机上内置的Visual Studio终端远程访问文件系统和执行任意命令。”

值得注意的是，本次活动中采用的感染链与2024年9月针对航空航天、化工、保险和制造业组织的一次先前攻击序列基本保持不变，那次攻击通过Python加载器投放了Visual Studio Code远程隧道。

Proofpoint向境外黑客网站《黑客新闻》透露，自一年前首次使用以来，它观察到TA415在用于交付Visual Studio Code远程隧道的感染链中加入了渐进式变化。

Proofpoint的威胁研究员马克·凯利表示：“自那时起，Visual Studio Code远程隧道持续被使用，可能是因为对这一合法VS Code功能的滥用相对难以被网络防御者发现，尤其是在他们没有明确对此进行监控的情况下。”

“此外，TA415利用Visual Studio Code远程隧道开展的活动仍具有高度针对性，且数量较少，尤其是在我们报告中详述的7月和8月近期活动增加之前。”