邊疆奇譚

主要發現 

GLITTER CARP

• 自 2025 年 4 月起，我們觀察到大規模網絡釣魚郵件和數位身分冒充活動，這些活動針對維吾爾族、藏族、台灣及香港僑民社運人士，以及報道這些群體相關議題的記者。  
• 演員會在網路釣魚郵件中採用精心設計的數位冒充方案，包括冒充知名人士和科技公司安全警報。 
• 儘管目標群體各不相同，但這種活動在所有個案中都採用了相同的基礎設施和策略，並經常在多個目標上重複使用相同的域名和相同的冒充人員。
• 網路安全公司Proofpoint也記錄了這種基礎設施和活動，並觀察到針對符合中國政府利益的其它實體的攻擊。 
• 我們的評估認為，這項活動的幕後組織，應只專注於獲取基於電子郵件的帳戶的初始存取權限。這種策略可能表明中國軍民融合體系內存在一項特定合同，該合同利用民用承辦商，而其它團體則透過針對性
  監視、入侵設備和經協調的騷擾活動等方式來實施跨國數位鎮壓（DTR）。 

SEQUIN CARP

• 自 2025 年 6 月起，我們觀察到一場針對報道中國共產黨（中共）跨國鎮壓行為的記者的網路釣魚活動，特別是參與國際調查記者聯盟（ICIJ）之「中國目標」調查的記者。 
• 這場網路釣魚行動利用經篡改的敘述和精心塑造的角色，企圖吸引報導中國相關議題的記者的興趣；然而，這些演員經常犯下一些操作上的錯誤。
• 攻擊者試圖透過社交工程手段誘使目標授予第三方 OAuth token 存取權限，從而取得對電子郵件帳戶的持久存取權限，濫用合法的系統功能達到惡意目的。 
• 這項行動與中國政府為監視和恐嚇海外僑民社區和記者而開展的更廣泛、系統性的工作是一致的，這些僑民和記者致力於提高人們對中國政府鎮壓行為的認識，並使其透明化。