攻击架构：域名adobesys[.]com和其它攻击使用的注册信息

利用ThreatConnect系统WHOIS查询功能，发现恶意程序回连域名adobesys[.]com的大量注册信息，如通过中国网络服务商注册，注册邮箱为li2384826402[@]yahoo[.]com，而该邮箱与2015年攻击美国Anthem和OPM的APT组织DEEP PANDA高度关联，进一步为此次攻击事件提供了重要证据。

经分析，adobesys[.]com域名对应两个IP地址：173.231.11[.]24和185.92.222[.]81；攻击者使用的另一个域名newsoft2[.]com对应IP地址185.92.222[.]81，WHOIS信息显示，newsoft2[.]com通过中国地区网络利用邮箱omyname@gmail[.]com进行注册。攻击者利用newsoft2[.]com配合adobesys[.]com进行网络渗透活动。

攻击目标：两家公司

在该案例中，攻击者只关注小范围的特定目标。我们与合作伙伴通过网络流量分析和攻击域名监测发现，中国APT组织使用HttpBrowser后门，对欧洲某无人机设备公司的系统控制工程师发起了定向攻击，另外，美国国防部承包商的法国某能源管理公司在美分部也成为了这次攻击的目标，该公司长期为美方提供能源管理和SCADA系统解决方案。

在攻击发现后，我们及时通知了这两家攻击公司，但目前还暂时无法确定是否造成了数据泄露。

攻击者：老练的“熊猫”组织

虽然此次攻击手法与Emissary Panda和Dynamite Panda高度一致，但我们还不能确定攻击者具体属于哪支中国APT组织。Emissary Panda和Dynamite Panda都以国防和航空航天领域为主要攻击目标，Emissary Panda也曾对能源领域开展过入侵攻击。根据SecureWorks报告，Emissary Panda通常以挂马攻击、策略式网页攻击或水坑攻击为主要技术，针对特定组织机构人员实施定向渗透。另外，鱼叉式钓鱼邮件也是Emissary Panda使用的攻击手段。

社会-政治因素：攻击动机讨论

在2015年中美双方承诺遵守反对经济间谍的协议以来，HttpBrowser后门样本的出现可能让人们大失所望，虽然攻击目标为法国公司，但其中涉及美国利益，抑或者中国可以声称，这属于军事间谍范畴，并不违反去年中美协定。

相比之下，针对欧洲无人机设备公司的攻击就属于典型的经济间谍活动。虽然中国的大疆占据全球70%的民用无人机市场，但随着无人机商业经济的持续增长，可能不得不促使中国寻求与其它竞争对手抗衡的方法。无人机公司的系统控制工程师作为此次攻击的开始，如果进一步渗透，攻击者会获取更多无人机相关的知识产权、敏感资料和产品路线图等信息，之后，通过窃取资料，中国可以为其无人机企业获得更多经济优势：

整合竞争对手能力，缩小中国无人机技术差距

窃取竞争对手的技术创新，先于竞争对手实现产品

与竞争对手抢占金融市场或市场定价

了解竞争对手的商业和研究计划

经济间谍活动的演化？

近年来，虽然中国的网络经济间谍活动不太明显，但可以肯定的是这并没有结束，这些攻击活动可能已经演变成巩固其市场地位的方式存在。从某种程度上来说，巩固中国公司在国际市场上占据主导地位的方式，可能是其经济间谍活动的转向。就像中国长期针对美国钢铁企业开展的APT攻击一样，让其世界钢铁产量占比从2000年的15%上升到了2015年的50%。