黑客组织“Naikon”在过去五年里成功地渗透了围绕南海的一系列主权政治组织，并收集了相关的地缘政治情报。

卡巴斯基在上周最新的针对性研究报告中表示，Naikon是一个高级持续性威胁（APT）组织，它在过去五年内大量地、高调地进行地缘政治活动。Naikon的成员可能来自中国，他们在多个国家部署了高级的数据挖掘工具和监视工具，主要目标是菲律宾、马来西亚、柬埔寨、印度尼西亚、越难、新加坡、缅甸、尼泊尔等国的政府高层机构、民间和军事组织。

在一次持续多年的网络间谍活动中，Naikon感染了装有远程控制模块的电脑，并破解了员工的工作Email和公司内部资源，包括利用外部服务存储的个人和公司Email信息。受影响的组织包括政府行政部门，比如总统办公室、内阁部长办公室和国家情报协调机构。联邦警察、司法部、军事机关同样遭到了袭击。

卡巴斯基表示，一小部分组织受到了持续的、实时的监控。不过卡巴斯基拒绝公开这些组织的所属国家。卡巴斯基实验室在其博客中说，这一组织“在东盟国家中有极高的渗透成功率”。

火眼的研究人员声称另一个名为APT30的黑客组织，与Naikon关系密切。然而由于没有找到完全匹配的样本，卡巴斯基实验室的研究者无法确认这两个代号背后就是同一个组织。研究人员表示，“有重叠的部分不足为奇，这两个组织都在南海区域活动多年了”。

卡巴斯基实验室全球研究与分析团队首席安全员库特·鲍姆加特说，Naikon组织开发了一种非常灵活的设施，可以部署在任何目标国家中，并将受害系统的信息源源不断地传送到幕后服务器上。代理服务器就部署在目标国家的边境上，每天都向攻击者传送泄露的信息。如果攻击者想将攻击目标转到其它国家身上，只需要建立一个新的连接即可。

卡巴斯基实验室表示，Naikon的攻击者们依靠传统的鱼叉式钓鱼技术攻破组织。他们使用的Email附件看上去像是Word文件，但实际上却是针对缓冲区溢出漏洞的可执行文件，它们通过微软公用空间库（Microsoft Common Controls Library）里的ListView、TreeView系列控件进行攻击。这一漏洞影响微软Office 2003 SP3、2007 SP2/3，以及Office 2010。当受害者打开附件时，可执行文件就会在受害者的电脑上安装间谍软件，并显示一个诱饵文本文档，这样受害者就不会发现入侵了。

研究者发现，Naikon的间谍软件看上去像是通过外部开发构建的。它包括三个模块：一个后门，一个构造器（Builder），以及一个漏洞构建器（Exploit Builder）。基于所入侵的平台，它会向浏览器的内存空间注入不同的代码，以及有关幕后服务器的信息、用户代理字符串、其它攻击组件的文件名和路径，以及API函数的哈希值总和。主模块负责远程注册功能，可以执行48种命令，包括获取整个目录（Inventory）、向远程服务器下载和上传数据、安装附加模块，以及在命令行执行代码。一旦模块开始运行，它就会使用SSL来建立与幕后服务器的安全链接，并检查收到的指令。

卡巴斯基实验室表示，专门人员会守在每个目标国家的相应地区，负责进行袭击。此人会学习此国家的文化规范，并将它用在攻击上，比如使用个人Email来进行工作相关的通信。在此人监控目标的同时，Naikon的攻击者们会部署代理服务器，抓取网络流量，并提供实时支持。

鲍姆加特说，通过对一部分特定目标配置专门人员，可以让Naikon间谍集团的入侵如虎添翼。

在马来西亚航空公司MH370航班失踪后，Naikon开始同时试图感染马来西亚和其它几个国家的政府机构、执法部门、民航部门。卡巴斯基实验室上个月表示，Naikon试图封锁关于调查和搜索失事航班的相关信息。卡巴斯基的研究者之前在讨论Naikon与另一个APT组织之间的冲突时揭露了它的相关活动。

2013年6月，趋势科技曝光了攻击者使用Rarstone远程访问工具（RAT）对亚洲的电信和能源行业发起攻击的相关情况。而这些使用RAT的攻击者可能就是Naikon的成员。