中國駭客後門Daxin潛伏台灣高科技製造企業13年 一文看超神隱竊密手法
圖、文/上報
中國駭客高階後門程式「Daxin」捲土重來,受害者是一家跨國高科技製造商設在台灣的子公司。美國資安研究人員更在同一台電腦發現之前沒被發現的後門「Stupig」,可偽裝成鍵盤程式,在使用者登入前取得系統權限執行指令。而這2款惡意程式可能在該企業網路中潛伏長達13年。

美國無廠半導體公司博通(Broadcom)旗下資安團隊賽門鐵克(Symantec)於2022年首次發現並揭露,中國駭客自2013年精心策畫的長期間諜活動,使用高階後門程式「Daxin」這個間諜工具,攻擊政府、電信、運輸及製造業目標,而這些目標的共同點就是,都對中國具有戰略利益。
「Daxin」可串聯感染電腦跳進企業內網
4年多後,賽門鐵克研究人員2026年5月又發現了受害者,是一家跨國高科技製造商設在台灣的子公司。研究人員在這家台灣子公司一台被感染的電腦上發現這個後門程式「Daxin」,甚至也在同一台電腦上發現一款從未被辨識出的後門程式「Stupig」。它所使用的新型攻擊手法,可能顯示它與「Daxin」行動有關,但目前尚未證實兩者在程式碼層面存在關聯。
賽門鐵克2022年將「Daxin」描述為,是該公司見過由中國相關攻擊者使用的最先進惡意軟體,它偽裝成Windows作業系統的核心驅動程式。若電腦受到感染,駭客將可在受感染電腦上執行各種通訊和數據收集行為。
它最具代表性的特點,是與指揮控制伺服器通訊的方式。這個驅動程式不會自行建立對外連線,而是監控傳入的傳輸控制協定(TCP)流量,尋找特定模式,並劫持現有的合法連線,來傳送加密的指揮與控制(C&C)流量。這讓傳統的網路監控手段極難辨識Daxin。
該惡意軟體還能把多台遭感染的電腦當成跳板,進行多重跳板(multi-hop)通訊,讓操作人員能夠連進內部網路系統。
後門「Stupig」偽裝鍵盤程式潛入Windows
博通旗下網站security.com於7月15日報導,「Stupig」所使用的技術,在任何已知惡意軟體家族中都從未被記載過。攻擊者透過一個被winlogon.exe載入、植入木馬程式的鍵盤配置DLL檔案,讓攻擊者能在任何人登入之前,直接從Windows登入畫面,並以系統權限執行指令,且不會觸發登入稽核事件。
「Stupig」是一款DLL後門程式。它會把自己登記成鍵盤布局提供程式(keyboard-layout provider),這會讓win32k.sys在系統啟動時,將其載入到winlogon.exe中,藉此持續留在系統中。這個DLL會回傳一個有效的KBDTABLES指標,因此鍵盤配置功能仍能正常運作。無論是其他程式或系統管理員檢查已載入的模組,都不會看出異常。
後門程式在winlogon.exe內開始運作後,就會監控Windows登入畫面,尋找以「stupig」這串字元開頭的使用者名稱。當有人輸入這類使用者名稱時,接在「stupig」後方的任何字串,都會在安全桌面(Winsta0\Winlogon)中,以系統權限執行;如果「stupig」後面沒有接任何內容,則會直接在登入畫面上,出現一個以系統權限運作的命令提示字元視窗。
接著,真正的LsaLogonUser函式會在未被修改的情況下照常執行,導致系統會回傳一般的登入失敗訊息。除了針對異常使用者名稱的登入失敗記錄外,不會產生任何異常的稽核事件。
中國駭客後門疑藏台灣企業13年
這2個惡意程式樣本的編譯時間戳記只相差幾週,「Daxin」落在2013年1月,「Stupig」則落在2013年2月,但這台主機直到2026年5月才開始回傳遙測資料。換句話說,這些後門可能在網路中潛伏了13年,卻始終未被發現。目前無法證實這2款工具是否由同一批操作者部署,但它們的功能可以互相配合。
最可能的初始入侵管道,是一個舊版的鼎新(Digiwin)單一登入(SSO)入口網站。該入口網站當時仍在使用2009年至2011年間安裝的Java開發工具包(JDK)1.5與1.6版本。這2個JDK版本都早已停止支援,分別於2009年及2013年結束生命週期。
在多起已公開的攻擊行動中,台灣先進製造業一直是中國持續入侵的重點目標。如今,2026年發現「Daxin」仍在活動,顯示背後的攻擊行動從未消失,只是沉寂下來。
如果「Stupig」後門程式確實與同一個攻擊者有關,就代表對方又多了一項能力。「Stupig」會藏在Windows登入程序中,並將自己登記成鍵盤配置提供程式,讓操作者能在使用者登入前,以系統權限執行指令並竊取登入憑證。這是一種多數防禦人員既不了解,也沒有加以監控的存取方式。
延伸閱讀;%20}%20.cls-2%20{%20fill:%20%23fff;%20}%20.cls-2,%20.cls-3%20{%20fill-rule:%20evenodd;%20}%20.cls-3%20{%20fill:%20%23ff681d;%20}%20.cls-4%20{%20fill:%20none;%20stroke:%20%23c6c6c6;%20stroke-width:%201.3px;%20}%20%3c/style%3e%3cmask%20id='mask'%20x='0'%20y='0'%20width='1.3'%20height='30'%20maskUnits='userSpaceOnUse'%3e%3cg%20id='mask-2'%3e%3cpolygon%20id='path-1'%20class='cls-2'%20points='0%200%201.3%200%201.3%2030%200%2030%200%200'/%3e%3c/g%3e%3c/mask%3e%3c/defs%3e%3c!--%20Generator:%20Adobe%20Illustrator%2028.7.1,%20SVG%20Export%20Plug-In%20.%20SVG%20Version:%201.2.0%20Build%20142)%20--%3e%3cg%3e%3cg%20id='_圖層_1'%20data-name='圖層_1'%3e%3cg%20id='Web版'%3e%3cg%20id='_財經-首頁'%20data-name='財經-首頁'%3e%3cg%20id='Hot_6-10'%3e%3cg%20id='topic'%3e%3cg%20id='topic_after'%3e%3cpath%20id='Fill-1'%20class='cls-3'%20d='M16.7,9.8l-5.9.8c-.9.1-1.3,1.3-.7,1.9l1.4,1.3-4.8,4.7L.7,14v4.9l5.1,3.8c.8.6,1.9.5,2.6-.2l6-5.9.9.9c.7.7,1.8.3,2-.6l.8-5.8c.1-.8-.5-1.4-1.3-1.3'/%3e%3cg%20id='Group-5'%3e%3cg%20class='cls-1'%3e%3cline%20id='Stroke-3'%20class='cls-4'%20x1='.7'%20y1='0'%20x2='.7'%20y2='30'/%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)

英國政府宣布國有化英國鋼鐵 睽違36年重回公有
2026-07-16 15:33
Uber出手了!斥資4300億台幣收購外送巨頭Delivery Hero
2026-07-16 15:43
烏克蘭無人機徹夜狂轟 俄羅斯多地遭襲釀死傷
2026-07-16 15:48
快新聞/鄭麗文1句激怒綠營!民進黨揭宜蘭藍營2人:要延續貪汙與造假?
2026-07-16 15:54
抖音海外版TikTok遭英國調查!監管機構緊盯兒童網路安全
2026-07-16 15:53
大阪道頓堀惡火釀2消防員殉職 警調查1年揭起火原因:本可避免
2026-07-16 16:09
中選會出招防李貞秀2.0?游盈隆:需繳附喪失原籍證明滿10年才能選
2026-07-16 16:05
烏克蘭內閣大改組!國防部長遭撤換引爆民眾示威
2026-07-16 16:08
