中國駭客鎖定思科防火牆漏洞，對全球政府機關發動攻擊

9月底思科修補防火牆漏洞CVE-2025-20333及CVE-2025-20362（CVSS風險評為9.9及6.5分），並指出已被用於攻擊行動，他們也藉由部落格透露調查結果，攻擊者曾經從事惡意軟體活動ArcaneDoor，不過，攻擊者是誰？有資安業者透露是中國駭客。

根據資安新聞網站Recorded Future的報導，資安業者Palo Alto Networks旗下的威脅情報團隊Unit 42表示，攻擊者就是思科點名的中國駭客Storm-1849（UAT4356），這些駭客在10月份幾乎接連不斷針對美國金融機構、國防承包商，以及軍事單位下手，利用漏洞攻擊防火牆，只有10月1日至8日沒動作。巧合的是，這段攻擊空檔恰巧是中國國慶連假。

Unit 42總共看到鎖定12個美國聯邦機構IP位址的掃描及漏洞利用活動，以及地方及州政府11個IP位址而來的活動。除此之外，他們也發現印度、奈及利亞、日本、挪威、法國、英國、荷蘭、西班牙、澳洲、波蘭、奧地利、阿拉伯聯合大公國、亞塞拜然，以及不丹，出現相關漏洞的利用活動。

Storm-1849並非首度對思科防火牆下手，去年4月思科威脅情報團隊Talos指出，這些駭客從2023年12月至去年1月，利用零時差漏洞CVE-2024-20353與CVE-2024-20359（CVSS風險評為8.6及6.0分），最終於防火牆植入後門程式Line Dancer與Line Runner。值得留意的是，思科11月5日透露發現新的變種攻擊，不過，是否也是Storm-1849犯案，該公司並未說明。