國家級駭客組織Sandworm利用SSH-over-Tor建立隱蔽通道，強化長期滲透能力[轉載自iThome]

文/張明德|2026-05-11發表

資安業者360揭露俄羅斯駭客Sandworm（APT-C-13）近期攻擊動向，警示該組織採用SSH-over-Tor技術建立隱蔽的遠端存取通道，以提升長期潛伏與存取能力。

依據360的研究團隊觀察，這波攻擊是以針對特定對象的魚叉式網路釣魚（Spear Phishing）為起點，誘使受害者開啟偽裝成PDF檔案的LNK捷徑檔，進而透過PowerShell指令下載惡意程式，並假冒合法應用程式的排程工作，在受害系統上建立持久的存取能力。攻擊的核心在於採用SSH-over-Tor架構，將SSH遠端連線透過Tor匿名網路進行多層節點轉送，從而建立隱蔽的遠端存取通道，還搭配obfs4混淆協定，將Tor流量偽裝為一般TCP流量，藉此繞過防火牆保護，降低遭到偵測的機率。

研究團隊指出，這波攻擊顯示駭客組織正持續強化隱蔽通訊與持久化滲透技術，企業除需強化釣魚郵件防護外，也應監控異常Tor流量與SSH連線，以降低遭滲透風險。