中国仍深植于美国能源网络中,“目的是摧毁它”
据德拉戈斯周二发布的年度威胁报告,去年有三个新的威胁组织开始针对关键基础设施,而一个知名的北京支持团队——Volt Typhoon——继续攻破蜂窝网关和路由器,并于2025年入侵美国电力、石油和天然气公司,根据德拉戈斯周二发布的年度威胁报告。
Dragos专注于运营技术(OT)安全,因此其客户包括能源、水务、制造业、交通运输及其他关键行业。毫不意外,这些领域是中国、俄罗斯及其他与政府有关联的网络行动者为间谍和战争目的进行黑客攻击的关键领域。
在年度网络安全报告中,德拉戈斯表示,州政府支持的团队并未停止试图攻破美国关键基础设施,已有三个新的专注于OT的威胁组织加入了这场战役。这使得全球总数达到26家,其中11家在2025年活跃。
此外,Dragos追踪的现有团体Voltzite,据Dragos首席执行官Robert M. Lee称,该组织与Volt Typhoon“高度相关”,去年仍持续进行入侵活动。这就是美国政府多年来指控其潜入关键美国网络并准备对这些目标发动破坏性网络攻击的北京恶棍小队。
李表示,2025年,Volzite继续将恶意软件嵌入美国战略性公用事业中,“以维持长期存在”。
李在与记者的简报会上说:“他们(伏尔茨矿)不仅仅是进入并获得访问权限——他们进入了管理公用事业工业流程的控制环路”系统,并补充说,这支由中国支持的团队的主要目标是制造未来的干扰。
在其中一次行动中,入侵者攻破了Sierra Wireless AirLink设备,并利用这些设备访问了美国管道运营的OT网络。德拉戈斯观察到伏尔兹特窃取作和传感器数据,并表示入侵者对OT网络的访问权限使其有可能控控制系统。他们还访问了工程工作站,窃取了配置文件和警报数据,其中包括如何强制停止作的信息。
在另一场与伏尔兹矿(Voltzite)相关的行动中,德拉戈斯发现团队利用JDY僵尸网络扫描面向公众的互联网协议(IP)地址范围和VPN设备,覆盖能源、石油、天然气和国防领域。
报告称:“虽然这一阶段未确认有利用行为,但德拉戈斯以中等信心评估,认为其意图似乎是为未来的入侵和行动数据外泄做预先布置。”
新来的孩子们
德拉戈斯去年开始追踪的三个新组织之一——Sylvanite——作为伏尔兹的初始访问经纪人,负责将漏洞武器化,然后将这些访问权限交给伏尔兹特进行更深层的OT入侵。
“通常这表示政府团队和他们的国家实验室,或者政府团队和承包商,或者两个不同的政府机构,”李说。
Sylvanite 利用 F5、Ivanti 和 SAP 等面向互联网的产品中的已知漏洞,为北美、英国、欧洲、亚洲和中东地区的电力生产、输电和配电、水务、污水以及石油天然气组织提供伏力石接入。
“他们正在发现边缘设备漏洞——这些是承包商或远程工作者用来进入运营网络的漏洞,”李说。“而且在披露后48小时内,他们就开始逆向工程[漏洞]并攻击这些设备。”
2025年出现的第二组Azurite与中国的亚麻台风重叠,重点获取OT工程工作站的长期访问权限,并窃取包括网络图、报警数据和流程信息在内的运营文件,用于后续能力开发。
该集团的目标是制造业、国防、汽车、电力、石油和天然气行业,以及美国、欧洲和亚太地区的政府组织。
最后,第三个新组织“辉石”与归因于帝国小猫(又名APT35)——伊斯兰革命卫队(IRGC)的网络分支——的活动重叠。
报告称,德拉戈斯发现Pyroxene正在“基于供应链杠杆的攻击,针对国防、关键基础设施和工业部门,行动范围从中东扩展到北美和西欧”。
其中一次入侵涉及Pyroxene与Dragos追踪的Parisite团队合作,Parisite作为关键基础设施组织的初始接入提供商。
Pyroxene 通常会对目标个体使用以招募为主题的社交工程,通过虚假的社交媒体账号与受害者互动,然后投放后门和其他恶意软件。2025年6月,德拉戈斯表示,该组织在伊朗、以色列和美国军事冲突期间,对以色列境内“多个未公开组织”部署了数据清除恶意软件。
别小看俄罗斯
当然,中国和伊朗并不是唯一针对美国及全球关键基础设施的国家。俄罗斯还对西方水务和公用事业构成威胁——以及任何协助乌克兰反对克里姆林宫占领战争的国家。
德拉戈斯不将网络攻击归咎于任何国家。然而,今年早些时候,它将2025年12月针对波兰电网的网络攻击归咎于其追踪的Electrum组织。该组织与俄罗斯由GRU领导的沙虫攻击网络单位有重叠——后者是2022年乌克兰一处电力设施袭击以及2022年俄罗斯地面入侵乌克兰时的多次擦拭攻击的幕后黑手。
Dragos在其新报告中表示,Kamacite是Electrum的初始接入提供商,并详细介绍了Kamacite于2025年3月至7月间对美国水务、能源和制造业中易受互联网暴露的工业设备进行的侦察行动。
报告称:“虽然德拉戈斯在此期间未发现成功利用的证据,但扫描的范围和精度显示了卡马西特作战态态势的显著演变。”
