中国APT组织部署”Airstalk”恶意软件实施供应链攻击

威胁情报揭露

2025年11月，Palo Alto Networks Unit 42发布重磅报告，披露了一种名为Airstalk的恶意软件家族被疑似中国背景的高级持续性威胁（APT）组织用于针对企业的供应链攻击。攻击手法相当独特——通过滥用VMware的AirWatch企业移动管理（EMM）API，在受管移动设备上执行恶意操作。

Airstalk技术分析

Airstalk作为一个恶意软件家族，展现了许多值得关注的技术特征：

攻击入口： 利用被入侵的AirWatch管理控制台或代理，通过合法的EMM通道部署。由于通信使用的是AirWatch自身的基础设施，恶意流量难以被常规网络监控识别。

功能模块：

• 设备信息窃取（包括联系人、短信、应用数据）
• 位置跟踪
• 远程命令执行
• 文件上传下载
• 屏幕捕获能力

躲避技术：

• 强制使用AirWatch的合法证书和TLS通道
• 动态C2通信，使用DGA（域名生成算法）
• 沙箱检测规避
• 代码混淆和加密

供应链攻击路径

该APT组织的攻击策略完美诠释了供应链威胁的精髓：

第一阶段：上游渗透 攻击不直接针对最终目标企业，而是选择扮演”软件/服务供应商”角色的EMM提供商或企业IT管理部门。通过钓鱼、漏洞利用或内部人员招募获取AirWatch管理凭据。

第二阶段：大规模推送 获得管理权限后，向该企业客户的所有受管设备静默推送”配置文件”或”应用更新”——实际上是Airstalk恶意软件。

第三阶段：目标筛选 在感染大量设备后，通过设备指纹和企业归属信息识别高价值目标设备（如高管手机、关键员工平板），进而开始定向数据窃取。

第四阶段：持久化控制 建立备用C2渠道，准备长期潜伏和持续情报收集。

目标画像

根据公开情报，Airstalk活动针对以下特征的目标：

行业导向：

• 半导体和芯片制造
• 5G通信基础设施
• 先进制造业
• 制药和生物技术

地理范围：

• 北美（美国、加拿大）
• 欧洲（德国、瑞典、荷兰）
• 亚洲（台湾、韩国）

这些目标选择与”中国制造2025″战略的优先级高度吻合，暗示了国家支持背景。

战略影响评估

Airstalk事件的战略意义远超单一恶意软件发现：

移动安全新时代： “自带设备（BYOD）”和企业移动管理（MDM）曾被视为安全控制手段。Airstalk证明，这些系统本身可能成为攻击武器。

供应链信任危机： 当企业引入EMM解决方案时，是基于”服务商会保护我”的信任假设。Airstalk暴露了这种信任的脆弱性——服务商自身被攻击，我何以独善其身？

APT战术演进： 利用商业移动管理工具进行APT活动，代表了”living off the land”（就地取材）战术的新高度。攻击者无需开发绕过安全控制的新技术，而是直接劫持现有控制。

防御框架

针对Airstalk类型的威胁，组织需建立多层防御：

MDM/EMM安全强化：

• MFA强制覆盖管理控制台
• 管理设备的分段访问
• 审计日志异地备份和监控
• 定期审查已部署配置文件

移动设备安全：

• 应用发布来源严格限制
• 企业应用商店代码签名验证
• 网络流量异常检测
• 容器化和沙箱化敏感应用

供应链安全：

• EMM服务商的安全评估
• 安全监控的独立部署（不依赖EMM日志）
• 威胁情报订阅和共享
• 事件响应预案

结语

Airstalk不是孤立事件，而是APT战术演化的缩影。供应链攻击因其”一次入侵、多处受害”的效率，已成为国家级网军和商业APT组织的共同选择。在万物互联的时代，企业在访问管理服务工具的同时，必须认识到其潜在的双刃剑性质——今天的管理入口，可能成为明天的攻击通道。