与中国的关联网络行动者正越来越多地利用大规模被控设备构成的隐蔽网络（covert networks）来掩盖其恶意活动。这种战术、技术和程序（TTPs）的转变，使其逐渐摆脱对单独采购基础设施的依赖。此类隐蔽网络主要由被控的小型企业/家庭办公室（SOHO）路由器、物联网（IoT）设备和智能设备组成。借助这些网络，行动者能够以低成本、低风险且具备可否认性的方式开展网络行动，从而增加归因难度。这些网络被用于网络杀伤链的各个阶段，从侦察到恶意软件投递及数据窃取。现有证据表明，中国的信息安全公司创建并维护这些隐蔽网络。例如，感染超过 20 万台设备的“猎鹰列车”（Raptor Train）网络由 Integrity Technology Group 管理；而“伏特台风”（Volt Typhoon）所使用的 KV 僵尸网络则主要由存在漏洞的已淘汰路由器构成。由于这些僵尸网络具有动态和分布式的特性，依赖静态 IP 黑名单的传统防御范式正逐渐失效。防御方需通过绘制网络边缘设备图谱、建立正常连接基线以及利用威胁情报来适应这一变化。实施多因素认证，并采用 IP 地址或地理位置白名单，是至关重要的防护措施。规模更大或风险更高的组织可进一步通过实施零信任策略和缩减面向互联网的 IT 资产来增强安全性。建议最受针对的实体将此类隐蔽网络作为独立威胁进行主动狩猎与追踪。全面遵循网络安全最佳实践，仍是抵御此类不断演变威胁的根本之道。

“这份由多个国际网络安全机构发布的咨询报告，详细介绍了中国国家支持的网络攻击，这些攻击针对全球网络。这些攻击通常与特定的中国实体有关，主要针对电信、政府和基础设施网络。攻击者通过破坏设备（包括路由器）来获得初步访问权限，然后利用受信任的连接渗透到其他网络。他们利用已知的漏洞，特别是在边缘设备上，并积极利用新发现的漏洞。技术手段包括修改访问控制、打开端口和使用隧道来维持持久访问，通常会掩盖其真实来源。其目的是为间谍活动窃取数据，包括追踪通信和活动。该咨询报告提供了关于战术、技术和程序（TTPs）的详细信息，并鼓励网络防御者实施缓解措施。尽管该报告使用了“APT行为者”这一通用术语，但与此次活动有关联的已知威胁组织有好几个。攻击者正在利用多个CVE，包括那些针对思科、 Palo Alto 和 Ivanti 产品的漏洞。建议各组织报告被攻击的详细信息，以加强集体防御。”