Google Threat Intelligence Group(GTIG) 通过官方博客曝光了 APT24 间谍组织使用的 BadAudio 恶意程序。APT24 过去三年在受害者网络部署了此前未有记录的 BadAudio——一种高度混淆的第一阶段下载工具,用于建立持久访问权限。APT24 利用了供应链入侵、多层社会工程攻击以及滥用合法云服务如 Google Drive 和 OneDrive,展示了其攻击能力的持续演进。举例来说,从 2024 年 7 月起,APT24 多次入侵了一家台湾的数字营销公司,该公司为客户网站提供了 JS 库。APT24 通过入侵该公司,将恶意的 JS 代码注入到该公司的一个广泛使用的 JS 库,它还使用误植域名(Typosquatting)冒充合法 CDN 的域名。
