2022 年,奇安信威胁情报中心红雨滴团队在 Operation Typhoon报告中首次披露了海莲花组织针对国产化系统的攻击案例。鉴于当时信创终端普及率较低,且该类设备多存储政府敏感信息,我们仅就该攻击趋势发布了预警。随后几年间,我们进一步监测到包括 APT-Q-95、UTG-Q-008 及某未知组织在内的多个攻击团伙持续针对信创平台以及政务网展开攻击,其核心目的在于窃取政务数据、刺探国家政策及未来发展战略。
与 2022 年类似,海莲花选择了 Operation hurricane 中的特马用于同时攻击 win 和信创平台,投递诸如 lnk、desktop、jar、epub 等类型的鱼叉邮件,值得注意的是,在 2025 年 10-11 月份 win 平台的攻击活动中,海莲花似乎患上了天擎 PTSD,最新的 loader 特意检验受害者进程中是否存在天擎相关进程,如果存在直接退出。攻击者成功帮我们解决了天擎六合引擎启动拦截弹框后,用户点击放行的世界难题。
攻击面
除了内网终端供应链,当前针对信创平台的攻击手法与 Linux 桌面版并无二致,两者存在显著的技术同源性。因此,核心问题在于:境外情报机构如何在此次信创替换浪潮中,精准识别哪些单位的邮箱已迁移至信创环境。根据我们掌握的情报,海莲花组织目前尚无法实现精准钓鱼,其策略主要依赖于邮件探针与文档探针进行排除筛选,最终通过广撒网式的群发钓鱼来提升攻击成功率。
Desktop 诱饵
信创平台下的 Desktop 文件与 windows 平台下的 LNK 文件类似,是针对 linux 系统最常见的诱饵格式,已经被境外组织 APT36 针对印度的攻击活动中所用。
