据报道，自2013年以来，一名被称为“傲琴龙”的新进阶持续性渗透攻击演员与几起针对政府、教育和电信实体的黑客攻击有关，这些攻击主要发生在东南亚和澳大利亚。

威胁研究人员哨兵实验室(SentinelLabs)周四发表了一篇博客文章，描述了这些长达十年的事件。

哨兵一号的威胁情报研究员乔伊 · 陈(Joey Chen)写道: “我们估计，威胁行为者的主要关注点是间谍活动，与澳大利亚、柬埔寨、香港、新加坡和越南的目标有关。”。

根据哨兵实验室的说法，傲琴龙很大程度上依赖于使用文件诱饵来感染用户。

“我们从这些诱饵文件中发现了三个有趣的地方,”陈。

“首先，大多数诱饵内容的主题都是那些对亚太地区政治事务感兴趣的目标。第二，行为者利用以色情主题为主题的诱惑文件来诱惑目标。第三，在许多情况下，这些文件并非针对某个国家，而是针对整个东南亚。”

从技术角度来看，恶意软件利用文档漏洞，欺骗用户打开一个武器化的 Word 文档来安装后门。或者，用户被诱骗双击一个在受害者主机上执行恶意软件的假防病毒程序。

该恶意软件还经常使用 USB 快捷方式将自己安装到外部设备上，并感染其他目标。一旦进入系统，恶意软件已被观察到通过两个主要的后门操作。

“归因于 Aoqin Dragon 的攻击通常会掉落两个后门中的一个，Mongall 和一个改进版的开源 Heyoka 项目,”陈解释说。

在归属方面，哨兵实验室(Sentinel Labs)表示，他们发现了几件文物，将该活动与一个讲中文的 APT 组织联系起来，包括基础设施重叠和2014年针对缅甸总统网站的黑客攻击。

陈表示: “针对敖琴龙的行动与中国政府的政治利益密切相关。”。

“考虑到这种长期的努力和过去几年持续不断的有针对性的攻击，我们认为威胁者的动机是以间谍活动为导向的。”

哨兵实验室的报告最后进一步警告了全球网络安全问题。

“我们已经观察到，为了不被发现，傲琴龙多次进化 TTP。我们充分期待着傲琴龙将继续进行间谍活动。此外，我们估计，他们很可能还会继续提升自己的谍报技术，寻找新的方法来躲避侦查，并在目标网络中停留更长时间。”