骇客示意图。(Nicolas Asfouri/AFP)

美国资安公司派拓网路（Palo Alto Networks）旗下的威胁情报团队“Unit 42”发表最新报告，披露了一个先前未曝光的中共国家级骇客组织“幽灵金牛”（Phantom Taurus），该组织使用可快速调整的、独特的TTP（策略、技术和程序）组合，能够执行高度隐藏的行动。

报告指出，过去三年来，该组织持续对中东、非洲与亚洲多国的外交部门、驻外使馆及电信单位发动网路间谍行动，展现高度隐匿与长期渗透的能力。

“幽灵金牛”的攻击目标集中在涉外事务、地缘政治与军事活动等领域，所搜集的敏感资料与中共经济与地缘政治利益高度契合。这些行动经常与重大国际事件或地区安全局势同步，显示其情报意图明确。

研究团队强调，与过去已知的中共骇客组织如“APT 27”（又称Iron Taurus）、“APT 41”（又称Winnti）及“野马熊猫”（Mustang Panda）等相比，“幽灵金牛”虽同样使用中共骇客惯用的基础设施，但其操作方式与工具库独树一帜，具备更高程度的“区隔化”与隐蔽性。

幽灵金牛最早在2023年由资安界以编号CL-STA-0043记录，后来因持续对政府机构展开网路间谍行动，被归入代号“外交幽灵行动”（Operation Diplomatic Specter）。

该组织早期以窃取政府邮件为主，但自2025年起逐步转向直接渗透资料库系统，透过专属脚本“mssq.bat”连接SQL服务器，搜寻并汇出特定国家的资料，例如阿富汗、巴基斯坦等。

这种转变反映出其战术升级，并能更直接获取高价值情报。2025年，研究人员认定其规模与影响力已足以被正式界定为独立的国家级骇客组织。

研究人员揭露，“幽灵金牛”开发了一套全新恶意程式工具组“NET-STAR”，专门锁定政府常用的Microsoft IIS服务器，对政府与外交机构构成严重威胁。

报告指出，NET-STAR能在不留下档案痕迹的情况下偷偷运作，并执行资料库查询、档案窃取与加密通讯，极难被发现。其中一个组件甚至能绕过Windows系统的安全防护，避开防毒软体侦测。

派拓网路指出，通过持续数年的追踪与分析，已确认“幽灵金牛”为中共新兴的高级持续性威胁（APT）组织。该公司已与非营利组织“网路威胁联盟”（Cyber Threat Alliance，CTA）分享了相关发现，以便CTA成员利用这些情报快速为客户部署防护措施，并系统性地阻断恶意网路攻击者。

报告同时建议政府与电信业者提升对资料库与IIS服务器的监控与防护，防范此类隐形攻击。

派拓网路成立于2005年，总部设于美国加州圣塔克拉拉，是全球领先的资安公司。其主要竞争对手包括飞塔（Fortinet）、捷邦（CheckPoint）与思科（Cisco）。在2025年《财富》500强榜单中，派拓网路首次上榜，位列第470位，成为少数进入榜单的纯资安企业。