文章总结： 趋势科技披露SHADOW-EARTH-053组织针对亚洲多国政府、北约及记者等目标的间谍活动。该组织自2024年12月活跃，利用Exchange和IIS的Nday漏洞（如ProxyLogon）部署GodzillaWebShell，通过DLL侧加载植入ShadowPad后门，并使用Mimikatz提权、Sharp-SMBExec横向移动。建议组织优先为面向互联网的IIS应用打补丁。 综合评分： 87 文章分类： 威胁情报,恶意软件,漏洞分析,应急响应,安全运营

趋势科技披露针对亚洲政府、北约、记者和活动人士的黑客活动

会杀毒的单反狗 会杀毒的单反狗

爱拍照的老李

2026年5月2日 09:01 湖北

在小说阅读器读本章

去阅读

导读

趋势科技安全研究人员披露一项新的间谍活动细节，该活动针对南亚、东亚和东南亚地区敏感部门，以及一个属于北约的组织。Trend Micro 将此活动归因于命名为 SHADOW-EARTH-053 的威胁组织。

趋势科技将此次活动归因于其追踪的威胁活动集群，该集群的临时名称为SHADOW-EARTH-053 。据评估，该组织至少从 2024 年 12 月起就一直活跃，并且与CL-STA-0049、Earth Alux 和 REF7707存在一定程度的网络重叠。

安全研究人员 Daniel Lunghi 和 Lucas Silva 在一份分析报告中指出：“该组织利用面向互联网的 Microsoft Exchange 和 Internet 信息服务 (IIS) 服务器中的Nday漏洞（例如ProxyLogon链），然后部署 web shell（Godzilla）以实现持久访问，并通过 DLL 侧加载合法签名的可执行文件来植入ShadowPad 。 ”

这些攻击活动的目标包括巴基斯坦、泰国、马来西亚、印度、缅甸、斯里兰卡、波兰和其他敏感地区。

趋势科技表示，他们观察到近一半的 SHADOW-EARTH-053 目标此前也曾受到名为 SHADOW-EARTH-054 的相关入侵集的攻击，尽管没有发现直接的行动协调证据。

攻击的起点是利用已知的安全漏洞入侵未打补丁的系统，并投放类似 Godzilla 的 Web Shell，从而实现持久远程访问。这些 Web Shell 作为命令执行的载体，能够进行侦察，并最终通过 AnyDesk 部署 ShadowPad 后门。该恶意软件通过 DLL 侧加载的方式启动。

至少在一个案例中，React2Shell（CVE-2025-55182）的武器化据称促成了Linux版Noodle RAT（又名ANGRYREBEL和Nood RAT）的传播。谷歌威胁情报小组（GTIG）已将此攻击链与一个名为UNC6595的组织联系起来。

此外，攻击者还利用了开源隧道工具，例如 IOX、GO Simple Tunnel (GOST) 和 Wstunnel，以及RingQ来打包恶意二进制文件并逃避检测。

为了方便权限提升，SHADOW-EARTH-053 被发现使用了 Mimikatz，而横向移动则通过一个名为Sharp-SMBExec的自定义远程桌面协议 (RDP) 启动器和 SMBExec 的 C# 实现来实现。

趋势科技表示：“此次攻击活动的主要入口点是面向互联网的IIS应用程序中的漏洞。各组织应优先为Microsoft Exchange以及托管在IIS上的任何Web应用程序应用最新的安全更新和累积补丁。”

技术报告：

https://www.trendmicro.com/en_us/research/26/d/inside-shadow-earth-053.html

新闻链接：

https://thehackernews.com/2026/05/china-linked-hackers-target-asian.html

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《趋势科技披露针对亚洲政府、北约、记者和活动人士的黑客活动》