以色列网络安全公司Check Point 10月29日发布技术报告指出， Reaper(又被称为IoTroop)恶意软件或出自中国间谍组织“黑色藤蔓”(Black Vine)之手。

Reaper恶意软件使用了Lua环境

Check Point的安全研究小组负责人Yaniv Balmas(亚历弗·巴尔马斯)表示，这款恶意软件的独特之处在于使用了Lua环境。Lua是一款轻量级的嵌入式编程语言，其目的是使脚本运行。

Balmas称，他们先前从未见过恶意软件使用Lua的案例。正是由于对Lua环境的利用，这款恶意软件变得十分敏捷，并具有高度适应性。Lua环境允许攻击者几分钟内从一种攻击转移到另一类攻击。Balmas认为Reaper可能会发起大规模DDoS攻击，接下来还可能会进行加密货币挖矿活动。他认为这款恶意软件的设计可圈可点，包含许多DDoS基础设施(例如C&C服务器等，其中许多设施以不专业的方式冗杂在一起)，这一点与众不同。

Reaper开发人员使用的电子邮件域名通过电子邮箱li2384826402@yahoo.com注册，中国间谍组织“黑色藤蔓”(Black Vine)先前也曾使用过该邮箱。

Check Point在技术报告中指出，这一点还不足以判定Reaper僵尸网络就是“黑色藤蔓”所为，但这些信息为今后的研究提供了线索。

Balmas指出，这个电子邮箱可能为经销商所有，而经销商将域名出售给了Black Vine和Reaper。

关于“黑色藤蔓”间谍组织的分析

赛门铁克公司2015年8月发布报告称有关“黑色藤蔓”的分析报告，指出该间谍组织曾对美国第二大医疗保险服务商Anthem发起攻击，当时近8000万员工和客户资料(包括姓名、生日、医保ID号、社会保险号、住宅地址、电子邮箱、雇佣情况、以及收入数据)被盗。

赛门铁克公司这份2015年的报告曾表示，Black Vine间谍组织早在2012年就出现了，它的攻击目标包括燃气轮机制造商、航空航天公司、医疗保险服务商等等，且惯用的是0day漏洞利用程序和自定义开发的恶意后门，并认为Black Vine与黑客组织“隐秘山猫”有所关联。当时，受Black Vine影响最大的地区是美国，其次是中国、加拿大、意大利、丹麦、印度。

Balmas表示，研究人员对攻击行径的揭示似乎并未起到让攻击者收手的效果。一般情况下，当安全公司披露公开此类网络犯罪行动时，攻击者会摧毁基础设施。而在这起案例中，确实有少量服务器停止运行，但第二天还会照常运行。

Balmas还补充称，恶意软件作者使用的服务器托管在美国、欧洲和远东地区。Check Point已与其中大多数互联网服务提供商取得联系，但目前尚未收到回复。