APT29, Intellexa, NSO 共享相同的漏洞链

APT29、Intellexa、NSO 共享相同的漏洞利用链

执行摘要

Google的威胁分析小组（TAG）发现，疑似俄罗斯国家支持的威胁行为者APT29部署了与商业监控供应商Intellexa和NSO Group之前使用的漏洞利用链相同的漏洞利用链。这项发现发表于2026年4月30日，表明国家赞助的攻击性网络行动和商业间谍软件行业之间存在融合，可能是通过共享访问相同的零日漏洞开发者或漏洞转售的二级市场。Google TAG明确指出，这三个实体之间的漏洞利用链是“相同的”，尽管它没有在当前报告中指定确切的CVE或目标平台。

技术分析

根据Google TAG的分析，在APT29行动中观察到的漏洞利用链与Intellexa（Predator间谍软件框架的制造商）和NSO Group（Pegasus的开发者）部署的漏洞利用链相匹配。报告没有披露具体的漏洞或交付机制，但含义是技术工件——例如漏洞代码结构、触发条件和后漏洞利用有效载荷——在这些完全不同的威胁行为者之间共享。

APT29，也被称为Cozy Bear，是俄罗斯对外情报局（SVR）的一个单位，历史上与包括政府部委、智库和技术公司在内的高价值间谍目标相关联。Intellexa和NSO Group是以色列的商业监控供应商，其产品被认为与侵犯人权和针对记者、活动人士和反对派人物的针对性监控有关。

重复使用相同的漏洞利用链提出了两个不互斥的可能性：要么这些行为者从同一个第三方漏洞经纪人或开发者那里购买漏洞，要么一个行为者通过盗窃或情报共享安排从另一个行为者那里获得漏洞。Google TAG指出，商业监控行业越来越多地成为国家行为者获取能力的途径，而无需自行开发。

这一发现与Google TAG和其他研究人员记录的更广泛趋势相一致：零日漏洞的商业化模糊了国家赞助和私营部门攻击行动之间的界限。在以前的报告中，Google TAG详细说明了Candiru和Cytrox等漏洞经纪人如何出售后来被政府用于针对民间社会的能力。

缓解措施与建议

Google TAG建议防御者优先修补移动操作系统（iOS和Android）和网络浏览器中已知的漏洞，因为这些是被国家支持的行为者和商业间谍软件供应商使用的漏洞利用链最常见的入口点。组织应尽可能启用自动更新，并部署限制应用程序侧载的移动设备管理（MDM）策略。

对于高风险目标——包括政府官员、记者和人权捍卫者——Google建议在iOS设备上启用Lockdown Mode，并使用启用增强安全浏览的Chrome。网络防御者应监控移动设备的异常出站连接，并调查与权限提升或内核漏洞利用相关的警报。

当前咨询中没有命名具体的补丁或CVE，因此防御者应将任何针对移动或浏览器平台的漏洞利用链视为可能被多个威胁行为者共享。Google TAG表示将继续分享技术指标，因为它们变得可用。