​​印度遭黑客攻击事件被夸大，APT36 间谍威胁持续发酵​

HackerNews 编译，转载请注明出处：

近几周，针对印度数字基础设施的黑客活动分子攻击声明引发广泛担忧——在印度与巴基斯坦的地缘政治紧张局势下，政府、教育及关键行业领域据称发生超100起入侵事件。

然而，CloudSEK的新调查表明实际损害微乎其微，许多声明存在夸大或完全捏造。

包括Nation Of Saviors、KAL EGY 319和SYLHET GANG-SG在内的知名黑客活动组织声称已入侵印度选举委员会和总理办公室等重要目标。

但CloudSEK分析师发现这些破坏行为大多具有象征意义：遭篡改的网站通常在数分钟内恢复，泄露数据实为公开或回收利用的旧数据，分布式拒绝服务（DDoS）攻击造成的停机时间可忽略不计。

攻击声明与事实对比：

尽管有声明称从印度国家信息中心窃取247 GB敏感政府数据，但泄露的“证据”仅为1.5 GB公开媒体文件。类似地，所谓从安得拉邦高等法院窃取的数据主要由线上已有的案件元数据构成。其他声明攻击（包括对印度陆军和选举委员会的入侵）被揭露为使用过期数据或完全伪造。

根据CloudSEK分析，围绕所谓入侵的炒作主要由X平台（原Twitter）上与巴基斯坦关联的账号推动，包括@PakistanCyberForce和@CyberLegendX。这些账号传播未经核实的声明，并将其与“Operation Sindoor”“Bunyan Al Marsous”等持续行动关联。

尽管传播广泛，大多数声明仍缺乏系统入侵或破坏的可信证据支持。

与此同时，在舆论喧嚣背后，一个据称对印度构成更严重威胁的网络攻击正在升级。以关联巴基斯坦闻名的高级持续性威胁组织APT36已发起复杂钓鱼活动，意图渗透印度政府和国防网络。

在2025年4月印控克什米尔帕哈尔加姆恐怖袭击后，APT36利用情绪化诱导内容，通过伪装成政府简报（PPT或PDF格式）的钓鱼邮件传播Crimson RAT恶意软件。这些恶意文档将用户导向仿冒印度官方网站的钓鱼域名，诱骗受害者提交凭证或执行恶意代码。

Crimson RAT是一种用于远程控制系统并窃取数据的远程访问木马。

在近期APT36行动中，该木马一旦安装便会连接至命令服务器，允许攻击者远程窃取文件、截取屏幕截图并在受感染系统执行超20种不同指令。其隐蔽性、持久性及对国防网络的针对性使其成为高风险间谍工具。

CloudSEK指出：“恶意软件收集敏感数据（如截图、文件或系统信息）后，会将数据回传至C2服务器供攻击者进一步分析。该过程设计隐蔽，最大限度降低被安全软件检测的概率。”

随着印度持续监控黑客活动分子的动向，警惕APT36等更隐蔽且能力更强的攻击者已成为明确需求。

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文