先说实话:当第一次看到安全研究机构披露Mustang Panda(也叫Stately Taurus、BRONZE PRESIDENT)在亚太地区的活动数据时,我
先说实话:当第一次看到安全研究机构披露Mustang Panda(也叫Stately Taurus、BRONZE PRESIDENT)在亚太地区的活动数据时,我后背是发凉的。这个APT组织从2025年下半年到2026年初一直在亚太地区持续作案,目标明确——政府机构、智库、外交部门、科技企业,他们的武器不是普通的病毒木马,而是高度定制化的鱼叉式钓鱼邮件和供应链渗透。这不是什么"黑客"在搞事情,这是有国家级背景的人在系统地搜集情报。
Mustang Panda到底怎么干的
这个组织最让我觉得可怕的是它的精准度。它不是广泛撒网,而是先花几周甚至几个月研究目标人物的社会关系、工作习惯和通讯方式,然后量身定制钓鱼内容。我给你们讲一个真实案例——2025年的一起攻击事件中,攻击者伪装成某国际会议的组委会,向参会企业的技术负责人发送了带恶意附件的会议资料。邮件做得天衣无缝,连会议名称、日程、地址都跟真实会议一模一样,多名目标人员都没识破打开了文件。
一旦进了门,事情就更麻烦了。Mustang Panda会在网络里横向移动,逐步渗透到域控制器、文件服务器、数据库,建立持久化的访问通道。他们偷的东西涵盖面极广——政府政策文件、外交谈判预案、企业技术研发文档、投标报价信息、供应链关系图谱。你们想想,这些东西如果落到竞争对手或者境外情报机构手里,会是什么后果。
APT攻击和企业有什么关系
我知道有人会说:"我们又不是国防承包商,APT组织看不上我们。"这种想法很危险。我给你们拆解一下Mustang Panda的攻击模式,你们自己判断。
第一,核心技术是定向窃取的重点目标。Mustang Panda在攻击科技企业时,会高度关注研发部门的源代码、技术路线图、专利申请书和实验数据。一个企业的核心技术泄露了,多年的研发投入可能就白费了。竞争对手或者境外机构可以基于窃取的技术信息提前布局,把企业挤出市场。第二,商业谈判信息一旦失守就完了。他们在攻击涉及国际贸易和跨境合作的企业时,会定向挖掘投标报价、合作条款、客户名单和成本结构。这些东西被对手掌握了,你坐在谈判桌上就已经输了。第三,供应链关系暴露的风险比想象中大。通过渗透邮件系统和文件服务器,攻击者可以拿到供应商名录、采购价格、交付周期和合作合同。这些信息是企业竞争力的重要组成部分,泄露了就可能被挖角、被复制供应链。第四,说实话,最让我不舒服的是他们还会给企业高管做详细的人物画像。他们研究目标企业核心人员的教育背景、工作履历、社交网络、家庭情况甚至兴趣爱好。这些信息不仅用来做更精准的钓鱼邮件,还可能成为事后的胁迫工具。
企业到底怎么防
面对Mustang Panda这类国家级APT组织,靠买一个防火墙或者装个杀毒软件肯定是不行的。得系统性地建立防御能力。
第一,信息要分级,权限要收紧。企业应该把内部文档、技术资料和商业数据按重要性、保密等级和泄密影响分好类。核心商业秘密实行"最小知悉原则"——只有真正需要知道的人才能接触。同时建好访问审计制度,每一次敏感信息的访问都要有记录,异常了立刻查。第二,邮件安全必须升级。鱼叉式钓鱼邮件是Mustang Panda最常用的手段。企业应该部署基于AI的邮件安全分析系统,能检测高度定制化的钓鱼攻击。外部来的带可执行代码或宏的附件,全部在隔离沙箱里打开。涉及核心商业秘密的部门,可以考虑外部邮件白名单制度。第三,反钓鱼培训要玩真的。我见过太多企业的培训就是发个邮件通知,这种等于没培训。应该定期做反钓鱼模拟演练,模拟APT组织的真实手法来检验员工的安全意识。演练结果跟绩效挂钩,多次中招的人要强训。第四,零信任架构不是概念,是必需品。在Mustang Panda这类攻击面前,传统边界防护已经不管用了。零信任的核心思想很简单——不信任何人,每一次访问都要验身份、查权限、看行为。就算攻击者拿到了某个账号密码,也没法在网络里随便晃。第五,针对APT的攻击要专门建应急响应预案。APT攻击跟普通网络攻击不一样——隐蔽性强、持续时间长、影响范围广。企业应该成立专门的APT应急处置小组,由信息安全、法务、公关和业务部门组成。一旦发现APT攻击迹象,能快速判断攻击类型、评估泄密范围、启动法律程序、通知相关各方。第六,供应链安全管理不能只是合同里写两句话。APT组织很爱通过供应商间接进入目标企业。要对核心供应商做安全评估,要求他们达到安全基线标准。涉及敏感数据共享的,签数据保护协议,保留安全审计的权利。
写在最后
Mustang Panda在亚太地区的持续活跃说明了一件事:企业不仅要防商业间谍和竞争对手,还得应对有国家级资源和情报能力的APT组织。这意味着保密工作的视角要从内部管理扩展到外部威胁对抗,从被动防御转向主动监测和提前布防。商业秘密的保护,早就不是法务部门或者信息化部门能单独搞定的事情——它关乎企业的生存和竞争力,是一个战略级课题。
北京企密安信息安全技术有限公司/ 邮箱:jess@baomiwang.com
