网络安全研究人员披露，以社会工程学攻击见长的 “分散蜘蛛”（Scattered Spider，又称 UNC3944）黑客组织，近期将攻击目标锁定在全球游戏开发商、发行商及媒体娱乐公司，通过 “鱼叉式钓鱼 + 会话劫持” 的组合手段，窃取企业内部数据、游戏源代码及用户账户信息，已导致至少 5 家知名企业遭受数据泄露，其中包括 2 家市值超 10 亿美元的游戏公司。

攻击目标与行业影响

“分散蜘蛛” 组织的此次攻击呈现出明确的行业聚焦性，主要针对两类企业：

• 游戏行业：涵盖从独立工作室到大型发行商的全产业链企业，攻击目标包括未上线游戏的源代码、用户付费数据、游戏内虚拟资产管理系统，以及用于开发的 3D 引擎和核心算法。2025 年 6 月上旬，某北美游戏公司的一款开放世界游戏源代码遭窃取，攻击者随后在暗网以 15 万美元的价格挂牌出售，同时泄露了约 50 万条用户邮箱与手机号信息，导致该公司股价当日下跌 4.2%；
• 媒体娱乐公司：包括流媒体平台、影视制作公司及内容分发服务商，攻击重点为未播出的影视版权内容、订阅用户数据库及广告投放数据。例如，某欧洲流媒体平台因遭遇该组织攻击，导致 3 部计划独家上线的剧集提前泄露，直接损失预估超 200 万美元广告收入。

研究机构 Mandiant 指出，这类企业的核心资产（如游戏代码、版权内容）具有极高的商业价值，且用户数据规模庞大，一旦泄露不仅会引发法律风险，还可能导致用户信任危机，因此成为 “分散蜘蛛” 等组织的 “高优先级目标”。

攻击技术细节与核心手法

“分散蜘蛛” 组织的攻击以 “低技术门槛、高社会工程学依赖” 为特点，核心攻击链条可分为三个阶段，尤其擅长利用企业员工的心理弱点突破防御：

1. 初始访问：精准鱼叉式钓鱼与凭据窃取

该组织会先通过公开渠道（如 LinkedIn、企业官网）收集目标企业员工信息，筛选出 IT 运维、开发或客服等具有高权限的岗位人员，随后发送高度定制化的钓鱼邮件：

• 邮件伪装：伪装成企业内部 IT 部门的 “系统更新通知”“账号安全验证提醒”，或外部合作方（如支付服务商、云服务商）的 “业务对接文件”，邮件主题与内容完全贴合目标员工的工作职责，例如向游戏开发人员发送 “引擎插件更新包”，向客服发送 “用户投诉处理工单”；
• 恶意载体：附件多为伪装成 PDF 或 Excel 文件的 “恶意快捷方式（LNK 文件）”，或包含钓鱼链接的 HTML 页面。用户点击后，不会直接触发恶意代码，而是跳转到模仿企业内网登录页面的伪造站点，诱使员工输入账号密码，或引导员工下载 “安全插件”（实际为记录键盘操作的恶意软件）。

此外，该组织还会利用 “密码喷洒”（Password Spraying）技术，对获取的员工邮箱批量尝试弱口令（如 “Password123”“公司名 + 年份”），进一步扩大凭据窃取范围。

2. 权限提升与横向移动：会话劫持与内部工具滥用

获取初始账号后，“分散蜘蛛” 会优先目标企业的 “特权账户”（如 IT 管理员、数据库运维账号），核心手段包括：

• 会话劫持：通过钓鱼邮件中植入的恶意软件记录员工的远程登录会话（如 RDP、VPN 会话），或利用企业内网中未修复的 “会话固定漏洞”，直接接管已登录的合法会话，避免触发多因素认证（MFA）的二次验证；
• 内部工具滥用：利用企业内部常用的运维工具（如微软 System Center Configuration Manager、VMware vSphere）进行横向移动，这些工具具有高权限且通常被安全策略 “信任”，攻击者可通过它们远程访问其他服务器，无需植入额外恶意代码。

例如，在针对某游戏公司的攻击中，该组织通过劫持 IT 管理员的 VPN 会话，获取了数据库服务器的访问权限，随后直接导出用户付费数据，全程未触发企业的终端防护告警。

3. 数据窃取与掩盖痕迹：分段传输与日志清理

完成目标定位后，攻击者会采用 “低流量、分段式” 的方式窃取数据，并刻意掩盖攻击痕迹：

• 数据处理：将窃取的大文件（如游戏源代码、影视文件）通过 7-Zip 压缩并加密，拆分为多个 100MB 以内的小文件，避免因大流量传输触发网络监控；
• 传输渠道：优先使用企业内部已授权的云存储服务（如 OneDrive、Google Drive）或合法文件传输工具（如 WeTransfer）传输数据，而非使用境外 C2 服务器，降低被检测的概率；
• 痕迹清理：在攻击结束后，删除服务器登录日志、文件访问记录及恶意软件残留，部分情况下还会篡改系统时间或伪造操作日志，干扰安全团队的溯源分析。

组织背景与攻击趋势

“分散蜘蛛”（Scattered Spider）最早于 2022 年被披露，初期主要针对电信和金融行业，2024 年起逐渐将重心转向游戏和媒体娱乐领域。Mandiant 的威胁情报显示，该组织成员具备较强的英语沟通能力，且对目标行业的业务流程（如游戏开发周期、媒体内容分发流程）极为熟悉，推测可能包含曾在相关行业工作的人员。 值得注意的是，该组织并非独立行动，而是与多个数据交易团伙存在合作 —— 窃取的数据会被快速转手给暗网中的 “数据中间商”，再由后者拆分出售给不同买家（如竞争对手、黑产团伙），形成 “攻击 – 窃取 – 变现” 的完整产业链。2025 年以来，该组织的攻击频率显著提升，平均每 10 天就会出现一起新的相关数据泄露事件，且有向中小型游戏工作室扩散的趋势。

防御建议与应对措施

针对 “分散蜘蛛” 组织的攻击特点，安全研究人员建议游戏和媒体企业重点强化 “人员意识”“访问控制” 和 “行为监测” 三大防线：

1. 提升员工社会工程学防御意识：
   • 定期开展针对性培训，模拟 “分散蜘蛛” 常用的钓鱼邮件场景（如 IT 通知、业务对接），让员工掌握 “核实发件人地址”“拒绝下载不明附件” 等基础防御技能；
   • 对 IT、开发等关键岗位人员实施 “额外安全考核”，禁止使用弱口令，强制开启多因素认证（MFA），并限制特权账户的远程登录范围（如仅允许特定 IP 段访问）。
2. 强化访问控制与会话安全：
   • 部署 “会话管理系统”，对 RDP、VPN 等远程会话设置 “超时自动退出”（建议不超过 30 分钟），并监控异常会话行为（如同一账号同时在多个地区登录）；
   • 对内部运维工具设置 “最小权限原则”，例如限制普通员工使用 System Center 等工具的 “跨服务器访问” 功能，避免权限滥用。
3. 建立针对性的异常监测机制：
   • 针对核心资产（如游戏源代码库、用户数据库）设置 “文件访问告警”，一旦出现批量下载、异常压缩等行为，立即触发实时通知；
   • 监控企业内部云存储和文件传输工具的使用情况，重点排查 “非工作时间的大量文件上传”“向外部邮箱传输敏感文件” 等异常操作；
   • 定期对服务器日志进行审计，使用 SIEM（安全信息和事件管理）系统分析 “日志删除”“时间篡改” 等可疑行为，及时发现潜在攻击。

目前，“分散蜘蛛” 组织的攻击仍在持续，且不断调整钓鱼邮件的伪装形式以规避检测。安全专家提醒，游戏和媒体企业需摒弃 “仅靠技术防御” 的思维，将 “人员安全意识” 纳入常态化安全管理，同时加强与行业内其他企业的情报共享，共同抵御此类针对性攻击。