據(jù)安全公司SentinelOne的調(diào)查分析，一個由印度雇傭的黑客組織十多年來一直以美國、中國、緬甸、巴基斯坦、科威特等國家為目標(biāo)，進(jìn)行廣泛的間諜、監(jiān)視和破壞行動。

根據(jù)分析，該組織名為Appin Software Security（又名 Appin Security Group，以下簡稱Appin），最初是一家提供攻擊性安全培訓(xùn)計劃的教育初創(chuàng)公司，但至少從 2009 年起就開展秘密黑客行動。SentinelOne 安全人員湯姆·黑格爾 (Tom Hegel)在近期發(fā)布的綜合分析中表示：“該組織針對高價值個人、政府組織和其他涉及特定法律糾紛的企業(yè)進(jìn)行了黑客行動?！?/p>

該調(diào)查結(jié)果基于路透社獲得的非公開數(shù)據(jù)，路透社指責(zé) Appin 策劃針對政治領(lǐng)導(dǎo)人、國際高管、體育人物的數(shù)據(jù)盜竊。作為回應(yīng)，該公司否認(rèn)了其與雇傭黑客業(yè)務(wù)的聯(lián)系。

Appin 被指提供的一個核心服務(wù)是名為“MyCommando”（又名 GoldenEye 或 Commando）的工具，該工具允許客戶登錄查看和下載活動特定數(shù)據(jù)和狀態(tài)更新、安全通信，并提供從開源研究到社會工程再到特洛伊木馬活動的多種任務(wù)選項(xiàng)。

在早期活動中，Appin被指參與了針對中國和巴基斯坦的攻擊，2013 年， Appin 還被確定為macOS 間諜軟件 KitM 的幕后黑手。此外，SentinelOne 表示還發(fā)現(xiàn)了針對印度國內(nèi)目標(biāo)的實(shí)例，其目的是竊取印度和美國錫克教徒的電子郵件帳戶。

黑格爾指出，在一次不相關(guān)的活動中，該組織還使用域名 speedaccelator[.]com 作為 FTP 服務(wù)器，托管在其惡意網(wǎng)絡(luò)釣魚電子郵件中使用的惡意軟件，其中一個惡意軟件后來被用于ModifiedElephant APT以針對印度國內(nèi)的目標(biāo)。

除了利用來自第三方的大型基礎(chǔ)設(shè)施進(jìn)行數(shù)據(jù)泄露、命令與控制 (C2)、網(wǎng)絡(luò)釣魚和設(shè)置誘餌站點(diǎn)外，據(jù)說這個神秘的組織還依賴 Vervata、Vupen 和 Core Security 等私營供應(yīng)商提供的間諜軟件和漏洞利用服務(wù)。

在另一個值得注意的策略中，Appin 被發(fā)現(xiàn)利用位于美國加利福尼亞州的自由職業(yè)者平臺 Elance（現(xiàn)名 Upwork），從外部軟件開發(fā)商那里購買惡意軟件，同時還利用內(nèi)部員工開發(fā)定制的黑客工具集。

黑格表示：“研究結(jié)果體現(xiàn)了該組織具有非凡的韌性，在代表不同客戶成功實(shí)施攻擊方面有著良好記錄?！?/p>