趋势科技安然研究员透露了一场活跃的收集间谍勾当行动，到今朝为止，此次步履所粉碎的电脑别离属于100多个国度的当局机构，科技公司，媒体，学术研究机构和非当局组织。

　　趋势科技将此次的报复打击行动定名为SafeNet，它的方针对象是利用带有歹意附件的垂钓邮件的用户。该公司的研究人员查询拜访了此次把持，并于周五在一份研究陈述中发布了本身的发现。

　　这一查询拜访发现了两套C&C办事器，它们唆使着两个伶仃的SafeNet报复打击步履，当然方针不合，但倒是用不异的歹意软件。

　　此中一场报复打击是利用带有西躲和蒙古内容的垂钓邮件。这些邮件带有.doc附件，操纵的是微软Word软件的缝隙，该缝隙微软在2012年4月出了补丁。

　　从这场报复打击的C&C办事器所汇集的拜候日记发现，共有来自11个国度的243个IP地址。可是，研究者在查询拜访过程中发现独一三位受害者还有勾当迹象，其IP地址来自蒙古共和国和苏丹。

　　据研究者流露，第二场报复打击步履的C&C办事器则记实了116个国度的11563个IP地址，不外真正受害用户的数量应当远小于这个数。在查询拜访期间，有71位受害者的电脑与这台C&C办事器沟通。

　　第二次报复打击中利用的邮件虽未被辨认，可是此次报复打击的范围较第一次的要广，并且受害者的地舆漫衍比较分离。排名前五的受害IP在印度，美国，中国，巴基斯坦，菲律宾和俄罗斯。

　　被传染电脑上所安装的歹意软件首要用于偷守信息，可是其功能可经由过程额外的模块来加强。研究者在C&C办事器上发现了用于出格用处的插件组件，还发现了可把IE和Firefox浏览器记下的暗码提掏出来的现成法度，和Windows中长途桌面和谈根据。

　　“当然凡是都很难肯定报复打击者的意图和身份，可是我们肯定了SafeNet报复打击是有方针的，并且它利用了专业软件工程师开辟的歹意软件，这些工程师或许与中国的地下收集罪犯有关，”趋势科技研究师们在研究陈述中写道。“报复打击者可能曾在中国比较驰名的手艺大年夜学进修，仿佛还拜候过一家互联网办事公司的源代码库。”

　　这个C&C办事器的把持者是从不合国度的IP地址接进C&C办事器，可是最多见的是从中国和喷鼻港的地址接进，趋势科技研究者称。“我们还看了其VPN和代办署理东西的利用环境，包含Tor，它们主如果用来为报复打击者制造地舆位置多变的IP地址。”