【安全资讯】Tropic Trooper扩展间谍活动至中东，瞄准人权组织

概要：

Tropic Trooper（又名KeyBoy和Pirate Panda）网络间谍组织近期将其活动范围扩展至中东地区，特别是针对人权组织。根据Kaspersky Labs的最新报告，该组织自2023年6月以来一直对中东的政府实体进行持续攻击，标志着其目标的战略性扩展。

主要内容：

Tropic Trooper以往主要攻击台湾、菲律宾和香港的政府、医疗和高科技行业，但自2023年6月起，该组织开始针对中东的政府实体，特别是涉及人权研究的机构。此次活动首次曝光是在2024年6月，当时在一个公共Web服务器上检测到一个变种的China Chopper Web Shell，该服务器托管了一个名为Umbraco的开源内容管理系统（CMS）。

进一步的调查揭示了多种恶意软件植入和后期利用工具，这些工具旨在进行网络间谍活动。初始感染涉及China Chopper Web Shell的变种，用于远程控制受感染的服务器。然而，Tropic Trooper的战术并未止步于此。进一步分析显示，该组织使用了DLL搜索顺序劫持技术，通过合法的易受攻击的可执行文件加载恶意DLL。这一技术使攻击者能够部署Crowdoor加载器，与之前发现的SparrowDoor后门相关联，从而增强其持久性和操作升级能力。

一旦进入受感染系统，Tropic Trooper使用各种后期利用工具实现横向移动和规避检测。例如，Fscan用于网络漏洞扫描和利用，Swor则是一种渗透测试工具。这些工具使攻击者能够收集信息，深入网络并执行其目标，而不会触发安全系统的警报。Kaspersky Labs高度确信这些活动归因于Tropic Trooper，强调了其战术和恶意软件样本与之前活动的重叠。此次发现展示了APT组织如Tropic Trooper对中东政府实体构成的不断演变的威胁。