ESET 研究人员发现，从 2022 年 5 月到 2024 年 3 月，欧洲发生了一系列攻击事件，攻击者使用的工具集能够攻击欧盟某国政府组织的空中屏蔽系统。

网络间谍活动旨在从孤立网络中窃取敏感数据
ESET 认为该网络间谍活动是 GoldenJackal 所为，这是一个以政府和外交实体为目标的网络间谍 APT 组织。通过分析该组织部署的工具集，ESET 发现 GoldenJackal 早在 2019 年就针对南亚驻白俄罗斯大使馆实施过一次攻击，该攻击利用定制工具瞄准了大使馆的空中屏蔽系统。

GoldenJackal 的最终目标很可能是窃取机密和高度敏感的信息，尤其是从可能没有连接到互联网的高端机器上窃取信息。

为了最大限度地降低泄密风险，高度敏感的网络通常都会进行空气隔离，即与其他网络隔离。通常，企业会对其最有价值的系统（如投票系统和运行电网的工业控制系统）进行空气隔离。这些网络往往正是攻击者感兴趣的网络。与攻破互联网连接的系统相比，攻破空气屏蔽网络的资源密集程度要高得多，这意味着迄今为止，专门用于攻击空气屏蔽网络的框架都是由 APT 组织开发的。此类攻击的目的始终是间谍活动。

“2022年5月，我们发现了一个工具集，我们无法将其归属于任何APT组织。但是，一旦攻击者使用了一种与已公开记录的工具类似的工具，我们就能深入挖掘，发现公开记录的 GoldenJackal 工具集与这种新工具集之间存在联系。ESET研究员马蒂亚斯-波罗利（Matías Porolli）分析了GoldenJackal的工具集，他说：”据此推断，我们设法确定了早先的一次攻击，在那次攻击中部署了公开文档中的工具集，以及一个更早的工具集，该工具集也具有攻击空中封闭系统的功能。

GoldenJackal 的目标是欧洲、中东和南亚的政府实体
GoldenJackal 一直以欧洲、中东和南亚的政府机构为目标。ESET 于 2019 年 8 月和 9 月在南亚驻白俄罗斯大使馆检测到 GoldenJackal 工具，并于 2021 年 7 月再次检测到 GoldenJackal 工具。最近，根据 ESET 的遥测数据，从 2022 年 5 月到 2024 年 3 月，欧洲的另一个政府组织多次成为攻击目标。

就所需的复杂程度而言，GoldenJackal 在五年内成功部署了两个不同的工具集来入侵空气屏蔽系统，这是很不寻常的。这说明了该组织的足智多谋。针对南亚驻白俄罗斯大使馆的攻击使用了定制工具，迄今为止我们只在这一特定案例中见过。该活动使用了三个主要组件： GoldenDealer 用于通过 USB 监控将可执行文件发送到空气屏蔽系统；GoldenHowl 是一个具有各种功能的模块化后门；GoldenRobo 是一个文件收集器和外泄器。

“当受害者将被入侵的 U 盘插入空气屏蔽系统，并点击一个名为文件夹图标但实际上是恶意可执行文件的组件时，GoldenDealer 就会被安装并运行，开始收集空气屏蔽系统的信息，并将其存储在 U 盘中。当再次将 U 盘插入联网的电脑时，GoldenDealer 就会从 U 盘中获取有关空气屏蔽电脑的信息，并将其发送到 C&C 服务器。服务器会回复一个或多个可执行文件，以便在空气屏蔽电脑上运行。最后，当 U 盘再次插入被窃电脑时，GoldenDealer 就会从 U 盘中取出并运行这些可执行文件。由于 GoldenDealer 已经在运行，因此不需要用户交互。

在最近一系列针对欧盟某政府组织的攻击中，GoldenJackal 从最初的工具集转向了高度模块化的新工具集。这种模块化方法不仅适用于恶意工具，也适用于受害主机在被入侵系统中的角色：它们被用于收集和处理有趣的、可能是机密的信息，向其他系统分发文件、配置和命令，以及外泄文件等。