执行摘要
在对东南亚网络威胁形势进行例行监测期间,北极狼实验室团队发现了一个相对较新的印度尼西亚黑客组织,自称“ INDOHAXSEC ”,一直活跃于该地区。
在过去的几个月中,该组织利用自己定制的工具和从更广泛的互联网上收集的工具,对该地缘政治区域内的众多实体和政府机构进行了分布式拒绝服务 (DDoS) 等网络攻击并发动了勒索软件攻击。
这个集体很大程度上是出于政治动机,但有时也是出于经济动机,他们在表面网络上维护着 GitHub、Telegram 和社交媒体账户,似乎无视运营安全性,而更看重名声和目标驱动的影响力。
什么是黑客行动主义?
黑客行动主义至少自 80 年代末以来就以各种形式存在,并随着互联网数字覆盖范围的扩大而不断发展。它通常由个人发起,作为针对政治、道德或社会原因的一种在线抵抗形式,通常涉及网站篡改、网络攻击、拒绝服务 (DOS)、数据泄露等,针对他们认为对其支持的任何事业负有责任的政府或企业实体。
INDOHAXSEC 是谁?
根据该组织通过 Telegram 频道发布的帖子,INDOHAXSEC 起源于印度尼西亚,并于 2024 年 10 月初正式成立。该组织的典型攻击包括网站破坏、DDoS 攻击、勒索软件部署和黑客攻击和泄露操作。该组织使用这些策略既是对遍布该地区的众多实体和国家的抗议,也是为了推进自己的政治意识形态和目标。
对他们最近许多活动的调查显示,该组织似乎主要受到亲巴勒斯坦情绪和宗教意识形态的驱使,因为该组织经常以被视为支持以色列的实体为目标。此外,在开始行动一个月后,INDOHAXSEC 宣布与知名的亲俄黑客组织NoName057(16)结盟,而后者最近才开始与其他具有反西方议程的黑客组织建立伙伴关系。
[
]
图 1:INDOHAXSEC 电报频道宣布与 NoName057(16) 建立合作关系。
虽然此次合作表明 INDOHAXSEC 的意识形态范围可能会有所拓宽,但此后几乎没有任何活动表明这种关系有所发展。
虽然该组织在网络威胁领域相对较新,但其多名成员此前曾与该地区其他黑客组织有联系,例如:
| 匿名黑旗 | 印度尼西亚黑客行动主义者 | 帕卢匿名网络 |
| 库宁安剥削者 | 西皮南 BL4CK | FoxCrack-ID |
| 真主党 CYB3R 团队 | 尊重修复之鹰 | QLAVER XPLOIT 安全 |
表 1:与 INDOHAXSEC 现有成员相关的区域黑客组织
最近,_INDOHAXSEC_的目标和重点似乎发生了变化,转向包含更具民族主义和政治动机的议程。据观察,该组织对他们认为违反其与印度尼西亚有关的核心利益和信念的实体发动网络攻击。
工具包
INDOHAXSEC 维护一个 GitHub 存储库,其中包含他们的自定义工具以及指向其官方群组 Telegram 帐户的链接。
[
]
图2:INDOHAXSEC 官方 GitHub 页面
根据对其“贡献”页面的监控,大多数活动都集中在 2024 年 10 月该小组成立前后的时间范围内。
[
]
图 3:INDOHAXSEC 的 GitHub 贡献历史
他们的存储库包含各种用各种编程语言编写的恶意脚本和工具,其中大多数本质上都是基本的恶意目的,旨在实现一系列基本的恶意目的,包括前面提到的 DDoS 攻击、网站破坏和各种基本的网络攻击。
| 姓名 | 类型 | 描述 |
|---|---|---|
| 方舟作弊检测器 | 批处理文件和 PHP | 一个用于检测与 ARK: Survival Evolved 相关的作弊行为的分叉和修改存储库。INDOHAXSEC 已修改存储库以包含“white.php”,这是一个 PHP 植入程序,用于从 GitHub 用户 @thinhcmd 下载名为 Avaa Bypassed 的多用途 PHP 后门。 |
| 核能研究所 | Python | 一组以 Python 和 Node.js 格式提供的 DDoS 工具,用于针对指定目标发起攻击 |
| 鲁达尔 | Python | RUDAL 与 NUKLIR 非常相似,但似乎缺少一些外部依赖。 |
| 鲁达尔壳 | PHP | 一组 PHP 脚本,包括后门、 <br>Exorlock 勒索软件和其他类型的用于破坏网络服务器的工具。 |
| Xss_Fucker | Python | 已编译的 python (.pyc) 文件,旨在扫描给定的目标网站是否存在跨站点脚本 (XSS) 漏洞。 |
表 2:INDOHAXSEC 工具包
此外,该集体的各个成员还维护着自己的个人 GitHub 存储库,其中包含其他工具,例如用户“ fidzxploit ”,其存储库于 2025 年初创建,其中包含用于网站 DDoSing 和破坏的脚本。
[
]
图 4:fidzxploit 的 GitHub 帐户(现已删除)。
此外,该组织的TikTok视频频道(其座右铭是:“网络安全是一种幻觉”)表明了他们对使用 OpenAI 的 ChatGPT 工具的广泛兴趣,特别是有关更改文件权限和文件加密的信息。
最值得注意的是,相关视频的时间戳比名为“Dancokware”的“网站破坏恶意软件”的 GitHub 提交历史时间戳早一天。在 TikTok 上,我们发现了一个名为 @akunthisiadi 的用户发布的一段该恶意软件的简短演示视频**,**标题为“恶意软件 DANCOKWARE!由 INDOHAXSEC TEAM 的 FidzXploit 编写的新 PHP 代码……此代码能够加密网站上的所有文件,包括内容和文件名。”ChatGPT 极有可能被用来改进原始恶意软件“ warning.php ”。虽然无法确定这一点,但如果真是这样,也不足为奇。
威胁行为者滥用 ChatGPT 并不是一个特别新的发展。各种网络犯罪分子已经开始全力以赴地使用 ChatGPT和其他人工智能驱动的工具来协助各种恶意活动,从制作看似合法的网络钓鱼电子邮件到调试和代码重写。这降低了此类活动的进入门槛,并增加了潜在攻击的威力。
[
]
图 5:Dancokware 恶意软件 – 文件加密和 Chmod。
[
]
图 6:Dancokware 配置字段。
此外,通过互联网档案网站“archive.org”进行一些历史调查发现,ExorLock勒索软件是由该组织早期以****AnonBlackFlag名义活动时编写的。
[
]
图 7:ExorLock 勒索软件自述文件。
2024 年 5 月,社交平台 X(原 Twitter)上一个名为CyberKnow的用户声称,Exorlock 据称在印度选举期间被用来攻击一个印度网站。
[
]
图 8:CyberKnow 在社交媒体平台“X”上发布的帖子。
Telegram 和社交媒体
与当今许多恶意实体一样,INDOHAXSEC 维护着一个拥有 4,000 多名订阅者的 Telegram 频道。他们主要使用此频道进行交流、协调和宣传。该平台的审核最低限度、大型群聊功能以及向广大受众广播用户消息的能力使其成为传播非主流叙事和组织非法活动的理想工具。与一些积极审核内容的主流社交媒体平台不同,Telegram 历来保持不干预的态度,让网络犯罪分子可以相对自由地进行操作,不受惩罚。
[
]
图 9:INDOHAXSEC 电报频道。
有趣的是,该组织在其频道中发布了几篇帖子,吹嘘他们正在开发臭名昭著的WannaCry勒索软件的继任者,他们称之为 WannaCry 2.0。值得注意的是,由于缺乏可供调查的样本,代码比较和与 2017 年 WannaCry 2.0 全球勒索软件攻击的关系尚未得到证实;美国司法部 (DoJ)此前曾将该勒索软件与政府资助的朝鲜黑客团队 Lazarus Group 联系起来。该组织更有可能选择这个名字来吸引注意力,并借助更臭名昭著的网络威胁组织的帮助。
[
]
图 10:有关 INDOHAXSEC 版本的 WannaCry 2.0 的电报帖子。
该组织还声称已在野外部署了这种恶意软件,目标是印度的实体,例如技术和产品工程公司 Solace Infotech Pvt. Ltd.。该组织吹嘘已渗透并泄露了该公司约 20 万条记录的 PhpMyAdmin 数据库。目前,这一说法尚未得到证实。
对该组织在 Telegram 通信中使用的主题标签的分析,可以进一步了解他们的目标和受害者。下图列出了该组织自 2024 年 10 月以来最常用的主题标签。(注:该图表不包括任何包含该组织名称本身的主题标签。)
[
]
图 11:INDOHAXSEC 通过 Telegram 使用主题标签的细目分类。
进一步分析他们的 Telegram 通信,特别关注该组织成立以来提到的国家,可以更深入地了解他们的目标,其中印度、以色列和马来西亚被提及最多。
[
]
图 12:该团体电报中提到最常的国家。
下图 13 直观显示了自 2024 年 10 月以来该组织所针对的国家。
[
]
图 13:INDOHAXSEC 针对的国家的世界地图。
如前所述,该组织使用 TikTok 等社交媒体平台展示他们的活动并传播他们的信息,利用该平台的知名度来吸引更广泛受众的关注。
[
]
图 14:INDOHAXSEC 的 TikTok 社交媒体频道。
最近,他们开始利用 X(前身为 Twitter)进行网络人肉搜索,以升级他们的策略,曝光马来西亚官员的个人信息,以回应一名印度尼西亚移民工人被枪杀的事件。1月24日,马来西亚海事执法局 (MMEA) 的官员向一艘涉嫌非法进入雪兰莪州丹绒鲁水域的船只开火。一名 50 岁的移民被杀,另有四人受伤。这起事件导致两国之间出现罕见的外交裂痕,并激怒了人权组织和工会,马来西亚已对枪击事件展开调查。
INDOHAXSEC 对马来西亚官员采取的明显报复行动表明,人肉搜索已成为其行动策略的一部分,特别是针对以海事领域为主的政府机构。
为了应对持续的攻击行为,国家网络协调和指挥中心 (NC4) 发布了关于“针对马来西亚的黑客活动”网络威胁加剧的咨询报告。
INDOHAXSEC 在其 Telegram 频道上宣布,他们正在寻求马来西亚政府针对此事件采取司法措施。然而,2 月 20 日, INDOHAXSEC 在其 Telegram 频道上发表声明,宣布暂时停止对马来西亚的攻击,理由是他们不想干扰印尼正在进行的国内抗议活动。他们强调自己独立于印尼政府,并警告说,如果马来西亚黑客对印尼网站发起攻击,他们准备进行报复,包括可能公布马来西亚政府的大型数据库。
结论
印度太平洋地区是一个复杂的地区,政治和宗教意识形态对立,彼此之间经常发生冲突。黑客活动团体是这一地区的数字延伸,其动力来自不断变化的地缘政治格局和紧张局势。本报告中描述的 INDOHAXSEC 针对马来西亚实体开展的网络行动就是一个典型的例子。
附录 1 – 攻击特征 (IoC)
| SHA256 | 文件名 |
|---|---|
| cd8a7350b07311f2257eba7ed5d992cf7f00e869461f9a2c3c2003a05bfdcce0 | indohaxsec.php |
| 9391014b5a567f4821603c97802c38d8f3053469f47533c57bcfdb787fd9cd57 | 404.php |
| 09092c5061322e3cdc33e3eb4d8379f77ec20ff121acd42b159e87407e421a57 | php 源码 |
| e9a2379991d7ad9f3031c9cd62eab9277b9a2d0179a066b36dd95737182574c8 | 马萨勒 |
| 3b1cb2248bf6b2c9cb493f6ef226a943042ccd8a5e98f4869c55a4efe0a0f835 | 塞尔巴鲁.php |
| ac9b107e35f7a8055bb4a556a1835b824f7b32bbc8af0c05dc67164678f25008 | minishell.php |
| 464087d09b85c0bbed20e5369264ae21537926da24efca8aed4136c70fe5b1e0 | 源文件 |
| eae18c62dbb29bc6749347d410a16b190cb1b2fdaff6d8318ca9ecb5e572391d | 上帝.php |
| efd85fd28bcf10f32f0ac934ee0e9e71d34a0cbae66ee83abad9a929c3ca91f9 | 博西尔 |
| 9325343e22181eda59efce7b9d6a54c5565c1798337cb42f07a24dbe93f5b117 | ikeh.php |
| 7fd271225602c021306c68157a2e17ace5f42853b4762c49f4d82ae8a4e2ebe3 | 密码保护 |
| 02c3d44ec9a44558f516a5922b09b736c5786d2a675b89b2e86ce8f16e4041b6 | 个人主页 |
| 0c5e744a5aefe6d6d432b85c33f92f2e2beb75af311421806acb550f766dda41 | 锁定.html |
| 658f468bc8a762ebef233d284bccb97d64d5b214ea49d9c1cac8b9976ee6c3dc | pyc文件 |
| f9a3f810fb81b3a605038d997341223eb6914aed4f13f4d93466906dc83b1942 | rudal1.py,misil.py |
| 1ba3ce9a93262e82a660b8b566134e08fa9680de8716a2893e4e4617086276f4 | rudal3.py,nuklir.py |
| 959cce59fc5d15540e348945b0a18516d9afb56b1f21fd2db4ed209e87cf2657 | rudal2.js,Rudal.js |
| 393bff0edb5c229064ba54343eb38ba1b301246caaa30c20021776c822383bf2 | 代理.txt |
| a5c8d558af0e8e3853cdd03be91dc7d915113a291466383005dbe1951809f663 | scrape.py |
| 49cf4ae0d9ffbfc0ff4918e34b1c5b066e62663eeee6da4d0fa91172850e03d6 | 白色.php |
| a82e254ec16d3505322b487cfa2cc0f9e629ef72a4f474dbae81b1ec5bd7f2c2 | dancokware.php |
| b3a7f14df7b52a0acadc02c58d602bd21e28b7968621f9181531d4977e216ba1 | 勒索网站.php |
表 3:攻击指标 (IOC)
