Palo Alto Networks旗下的Unit 42威脅研究團隊最新報告揭露，一個講中文的未知威脅組織（追蹤為CL-UNK-1068）自2020年起，持續對南亞、東南亞與東亞的航空、能源、政府、執法、製藥、科技與電信等關鍵基礎設施發動間諜攻擊。該組織運用自製惡意程式、開源工具與「活在土地上」（Living-off-the-Land，LOTL）技術，橫跨Windows與Linux環境，長期潛伏並竊取憑證與敏感資料。Unit 42研判，基於語言、使用工具來源與目標一致性，該組織極可能與中國有關，對台灣高度依賴關鍵基礎設施的半導體、能源與政府部門構成長期隱憂。

 

Unit 42研究員Tom Fakterman在報告中指出，CL-UNK-1068主要透過入侵公開暴露的Web伺服器作為初始存取點，部署GodZilla與AntSword變種等Web shell，隨後橫向移動至其他主機與SQL伺服器。攻擊者展現跨平台能力，為Windows與Linux開發不同版本工具集，目標為竊取憑證與外洩敏感資料。雖然動機強烈指向間諜活動，但Unit 42尚未完全排除財務犯罪可能。

 

攻擊手法高度依賴開源與LOTL技術，避免傳統惡意程式被偵測：

 

Fakterman強調，該組織大量使用合法工具與批次腳本，讓攻擊行為融入正常流量，難以被傳統簽章式防毒偵測。雖然技術不算頂尖，但憑藉長期潛伏與跨平台適應力，已成功滲透多國關鍵組織。

 

Unit 42將CL-UNK-1068的部分行為與中國知名APT「Salt Typhoon」相比，後者曾長期潛伏美國電信業者，竊聽執法監聽與總統競選通訊。近期Check Point也揭露APT41衍生組織「Silver Dragon」，同樣針對亞洲發動長時間間諜攻擊，顯示中國背景威脅正擴大區域影響力。

 

對台灣影響極為嚴重。台灣半導體、能源、通訊與政府部門高度數位化，許多關鍵系統暴露公網或使用弱密碼與未修補漏洞。若CL-UNK-1068類似組織鎖定台灣，可能導致供應鏈機密、基礎設施控制權或公民資料外洩，甚至影響國家安全。近期台灣已多次傳出關鍵基礎設施遭入侵事件，此報告應視為重大警訊。

 

Unit 42提出以下防護建議，台灣機構應立即參考實施：

 

Fakterman結語：「雖然尚未確定CL-UNK-1068身分，但其長期針對亞洲關鍵基礎設施的行為，顯示中國背景威脅已形成系統性風險。防禦者必須關注行為異常，而非僅依賴簽章。」

 

台灣政府與企業應視此為轉折點，加速關鍵基礎設施資安升級，強化情報共享與跨域防護。否則，隱形駭客可能已潛伏多年，靜待指令發動下一波攻擊。

 

 

出處： 基於Dark Reading文章《Chinese Cyber Threat Lurks In Critical Asian Sectors for Years》，作者Elizabeth Montalbano，發布日期2026年3月9日；並參考Palo Alto Networks Unit 42報告、Tom Fakterman分析，以及Check Point「Silver Dragon」相關研究。