与中国有关联的黑客组织TheWizards的工具分析：利用IPv6漏洞实施供应链攻击

网络安全公司ESET Research近期披露了一项针对亚洲和中东地区的网络攻击活动，该活动由与中国有关联的黑客组织TheWizards发起。

研究人员重点分析了该组织使用的恶意工具Spellbinder，该工具通过IPv6无状态地址自动配置（SLAAC）欺骗技术实施中间人攻击，能够劫持合法软件的更新流程。

据ESET研究员Facundo Muñoz介绍，Spellbinder最早于2022年被发现，并在2023年至2024年间出现了更新版本。该工具的工作原理是拦截网络数据包，将中国合法软件的更新请求重定向至恶意服务器，从而诱使目标系统下载并执行恶意组件。攻击的最终载荷是一个名为WizardNet的模块化后门程序，它能够连接远程控制服务器，接收并执行.NET模块指令。

ESET特别关注了2024年的一起攻击案例，其中腾讯QQ软件的更新流程遭到劫持。研究人员发现，用于分发恶意更新的服务器至今仍在活跃状态。最新版本的WizardNet支持五个命令，其中三个允许攻击者在受感染系统的内存中直接执行.NET模块，从而扩展其控制能力。

TheWizards组织的活动至少从2022年持续至今，其目标包括菲律宾、柬埔寨、阿联酋等地的个人、博彩公司及其他实体。值得注意的是，该组织与中国网络安全公司电科网络安全技术有限公司（UPSEC）存在潜在关联。UPSEC此前因开发DarkNights后门程序（又名DarkNimbus）而受到英国国家网络安全中心（NCSC UK）的关注，该恶意软件主要针对藏族和维吾尔族群体。

虽然TheWizards使用的是WizardNet后门，但研究人员发现其劫持服务器的配置与DarkNights相同，均用于更新Android设备上的应用程序。这一发现进一步加深了外界对这两个组织之间可能存在联系的猜测。

此次研究揭示了供应链攻击的新手法，凸显了IPv6协议潜在的安全风险。网络安全专家建议企业加强软件更新验证机制，并密切关注异常网络活动，以防范此类高级威胁。