揭秘**网络间谍组织“TICK”**：深度渗透**国防**、**航空航天**与**卫星行业**的安全威胁分析

自2008年起，国际网络安全团队持续追踪一个代号为“TICK”（亦称“BRONZE BUTLER”或“REDBALDKNIGHT”）的**高级网络间谍组织**，并于2018年11月监测到其恶意软件活动出现异常激增态势，标志着该组织攻击能力的显著升级。

除攻击频次大幅增加外，安全研究显示该组织已成功研发新型**恶意软件家族**，这些恶意程序不仅能绕过当前主流**杀毒软件**的实时防护机制，还可通过复杂权限提升技术为攻击者构建深度入侵通道。

在这场被命名为“Operation ENDTRADE”的专项行动中，**TICK组织**创新性地利用合法电子邮件账户及数字证书作为攻击载体，精准锁定掌握核心机密的**国防工业**、**航空航天制造**、精密化工及**卫星技术研发**等战略行业，实施定向信息窃取。

值得警惕的是，本次行动的主要攻击目标集中在总部位于日本、且在中国境内设有分支机构的跨国企业，凸显其针对东亚高科技产业链的情报搜集战略。

鱼叉式钓鱼电子邮件：**TICK组织**的首要攻击向量

图1. ENDTRADE行动的时间轴与攻击阶段划分

本年度1月，**TICK组织**针对日本某经济研究机构及国际公关公司发起精准**鱼叉式钓鱼攻击**，通过伪造业务邮件附件诱导受害者点击，旨在窃取企业邮箱凭证及敏感文档资料。

图2. **鱼叉式钓鱼邮件**样本解析（含社会工程学话术分析）

技术分析显示，恶意样本中硬编码的语言代码（932对应日语、936对应简体中文）进一步印证，ENDTRADE行动专门针对在华设有子公司的日本企业构建攻击路径，反映出**网络间谍活动**的地缘针对性特征。

图3. 恶意代码中的多语言支持模块（揭示目标区域定位）

新型**恶意软件家族**：Avenger与down_new的技术突破

在ENDTRADE行动中，**TICK组织**首次部署两种具备自主知识产权的**恶意软件家族**——Avenger下载器与down_new后门程序，展现其持续进化的攻击工具链。

图4. 新型**恶意软件**架构示意图（下载器与木马联动机制）

Avenger

该恶意程序采用模块化设计，针对不同行业目标定制载荷，其攻击链包含三个关键阶段：

1. 信息探查：收集受感染主机的磁盘卷标、已安装**杀毒软件**类型及操作系统版本信息，通过加密信道回传至**命令与控制服务器（C&C）**，完成目标价值判定。

图5. 第一阶段：主机信息采集流程图

2. 深度信息窃取：遍历本地文件系统及网络域环境，提取包含**国防**项目、**航空航天**图纸等敏感关键词的文档，并生成索引清单。

图6. 第二阶段：敏感文件筛选与数据压缩过程

3. 隐写术载荷投递：通过伪装的图片文件（JPEG/PNG格式）嵌入后门程序，利用LSB（最低有效位）隐写技术规避内容检测，实现**恶意软件**的持久化驻留。

图7. 第三阶段：加密数据回传**C&C服务器**的流量特征

图8. 隐写图片中的后门程序提取演示

图9. 升级版隐写算法对比（抗检测能力提升40%）

down_new后门：**网络间谍**的持久化控制工具

down_new后门程序集成多项反检测技术，核心功能包括：

• 注册表自启动项植入（HKCU\Software\Microsoft\Windows\CurrentVersion\Run）
• 硬件指纹采集（MAC地址、磁盘卷序列号）并加密上传至**C&C服务器**
• 工作时间触发机制（通过kernel32.GetLocalTime API限定8:00-18:00执行）
• 通信加密方案（AES-256算法结合Base64编码双重保护）
• 合法网站伪装C&C节点（利用CDN服务混淆流量来源）
• **杀毒软件**进程检测与规避（遍历进程列表终止防护程序）

图10. down_new后门指令集解析（含文件操作与屏幕监控命令）

辅助攻击工具：**网络间谍组织**的武器库扩张

Casper

该工具是Cobalt Strike后门的定制变种，采用双重免杀技术：通过**DLL侧加载**（利用合法Windows应用程序rundll32.exe加载恶意模块）及svchost.exe进程注入（规避进程监控），专门针对**国防**军工企业的内网环境设计。

图11. Shellcode注入svchost.exe的内存执行流程

DATPER

最新捕获的DATPER样本携带独特互斥锁标识（d0ftyzxcdrfdqwe、*&Hjgfc49gna-2-tjb），用于实现多实例协同工作，其新增的参数化配置模块可动态调整检测规避策略，使**杀毒软件**引擎误报率降低60%。

图12. DATPER互斥锁机制与参数化配置界面

开源工具武器化**

TICK组织在攻击中大量整合开源工具：Lilith RAT实现远程桌面控制，Mimikatz用于**Windows密码**哈希抓取，定制化RAR压缩工具实现恶意文件自解压，配合端口映射工具建立内网穿透通道，全方位提升**网络间谍**行动效能。

图13. 恶意截屏工具的静默运行模式（无界面后台截图）

图14. 篡改版Mimikatz的抗调试保护机制

安全启示：**国防**与高科技行业的防御策略

**TICK组织**作为长期活跃的**网络间谍组织**，其针对**航空航天**、**卫星技术**等战略行业的定向攻击表明：跨国企业需建立覆盖邮件网关、终端防护、**网络流量**监控的纵深防御体系，重点强化以下能力：

1. **鱼叉式钓鱼**邮件检测：部署AI语义分析引擎识别社会工程学话术
2. **恶意软件**行为监控：通过EDR工具捕捉异常注册表操作与进程注入
3. **敏感数据**加密保护：对**国防**项目文档实施强制访问控制
4. 员工安全意识培训：模拟攻击演练提升警惕性

ENDTRADE行动警示我们，**网络间谍活动**已形成专业化、链条化运作模式，**国防**与高科技企业必须构建动态防御机制，才能有效抵御此类高级威胁。

犹太人为何命途多舛？

林展（中国人民大学清史研究所博士后）

少数族群遭受迫害的现象几乎贯穿整个工业化前期的历史。即使在现代的很多发展中国家，针对宗教或人口上的少数族裔的暴力迫害仍然存在。但这一现象在发达国家已经极为罕见。如何解释这些历史现象呢?

Anderson、Johnson、Koyama三位作者在2013年的工作论文“Jewish Persecutions and Weather Shocks: 1100-1800”中，通过考察犹太人被驱逐和被暴力袭击的历史，指出气候冲击所带来的经济收入冲击，是造成犹太人这一少数族群经常受到迫害的重要原因。

在中世纪的欧洲，犹太人主要从事商业和金融业。欧洲各国的统治者为了推动经济发展，鼓励犹太人定居，犹太人逐步转向专门从事放贷。犹太人的放贷业务常常被基督教教会谴责，但是却得到统治者的保护，因为放贷活动对于中世纪的经济以及统治者的税收都非常重要。因此，保护犹太人群体有益于统治者的长期利益。但在大众的暴乱和反犹运动中，统治者常常没有能力保护犹太人，甚至还会由于无法抗拒短期利益的诱惑而驱逐犹太人。于是犹太人常被当作社会和经济状况恶化的替罪羊。

为了梳理收入冲击、