趨勢科技近日揭露中國駭客 Shadow-Earth-053 鎖定 Linux 主機 React2Shell 滲透手法揭露

資安廠商趨勢科技近日揭露一個鎖定亞洲與北約國家的中國駭客組織 Shadow-Earth-053，並指出其慣用的攻擊手法與最新工具進化。這個組織主要透過 ProxyLogon 等已知 Exchange 與 IIS 漏洞作為初期入侵管道，進入企業環境後對 Active Directory 進行深度偵察，最終於 Windows 主機植入長期監控用的後門程式 ShadowPad。台灣是此組織明確列名的攻擊目標之一，同時也有北約國家被鎖定的情報。

值得特別留意的是，過去 Shadow-Earth-053 的攻擊主要侷限於 Windows 環境，但本次趨勢科技的報告指出該組織已開始攻擊 Linux 伺服器，並使用一套名為 React2Shell 的滲透工具。這代表該組織的能力範圍已從企業 Windows 端延伸至雲端伺服器與基礎設施層，對企業混合雲與多平台環境的整體資安水位構成更廣泛威脅。

從攻擊鏈觀察，Shadow-Earth-053 的策略呈現典型的「APT 組織」特徵：以低成本的已知漏洞作為入口（ProxyLogon 是 2021 年揭露的 Exchange 高風險漏洞，至今仍有大量未修補主機）、長期潛伏進行偵察與資料外洩、並針對特定目標進行多階段橫向移動。對於擁有 Exchange、IIS、Linux Web 伺服器的組織而言，意味著「修補老漏洞」的優先級必須與「防禦零日攻擊」同等重要。

對台灣的影響特別值得關注。台灣是該組織明確點名的攻擊地區，受影響範圍可能涵蓋政府機關、關鍵基礎設施、半導體與科技業者、學術研究機構等。這些組織通常擁有對中國具策略價值的敏感資料，是 APT 組織長期關注的目標。對 CISO 而言，本次報告等同於一次具名警報：不只要關注網路釣魚與勒索軟體，更要把 APT 級對手列入威脅模型。

從技術防禦角度，企業可採取的具體措施包括：對所有對外暴露的 Exchange、IIS、Linux Web 應用進行漏洞掃描與快速修補；強化 AD 環境的權限分離與監控；部署 EDR/XDR 解決方案並針對 ShadowPad、React2Shell 等已知 IoC 建立偵測規則；以及定期進行紅隊演練驗證實際防禦能力。

從更宏觀的角度，這份報告再次強調國家級駭客組織活動的長期性與隱蔽性。對台灣這類處於地緣政治敏感位置的經濟體而言，必須同時建立技術防線（EDR、SIEM、SOC）、人員防線（資安教育、特權帳號管理）與情報防線（與國際資安廠商與政府單位的威脅情報共享）。

未來觀察重點是趨勢科技與其他資安廠商是否會公布更多 IoC 與檢測規則、台灣政府的 N-CERT 與 TWCERT 是否會發出對應的應變指引、以及企業端的修補與部署進度。在 APT 組織持續進化的環境中，「假設已被入侵」的威脅模型比「假設邊界安全」更為實用。