盡管網絡間諜活動背后的原因大多是為企業攫取競爭優勢，但這一猜測卻一直沒有太多證據支持。直到現在，一起新的間諜活動顯示出許多數據泄露事件與經濟利益之間幾乎是一對一的映射關系。

荷蘭安全公司Fox-IT在去年11月發現了一個網絡間諜組織，并將其命名為Mofang（魔方)。該組織至少自2012年2月以來便襲擊了不同國家和行業的超過12個目標，而且至今依然活躍。魔方的目標包括了美國政府機構、印度和緬甸軍事機構、新加坡關鍵基礎設施、德國汽車公司的研發部門，以及印度武器工業。

但是其中一次與緬甸皎漂經濟特區商業交易有關的行動，提供了這些攻擊者動機的線索。在那次攻擊中，魔方瞄準了負責該區域投資決策的一個財團，而某國石油集團公司正希望在那個地區投資建設油氣管道。

Fox-IT高級威脅情報分析師尤納坦·科林斯瑪說：“這真是一個有意思的攻擊活動，從中可以看出企業的初始投資是如何驅動數據竊取的。他們要么是害怕失去投資，要么僅僅是想要更多的商業機會。”

發現魔方

VirusTotal是谷歌的一個免費在線服務，聚集了來自賽門鐵克、卡巴斯基、F-Secure和其他安全公司36種以上的反病毒掃描器。任何人，只要發現了可疑文件，都可以上傳提交到該網站讓掃描器識別是否惡意。Fox-IT就是通過在VirusTotal上發現了該組織的某些惡意軟件才找出了魔方。

Fox-IT發現的是該組織使用的兩款主要工具：ShimRat(遠程訪問木馬)和ShimRatReporter(偵察工具)。該惡意軟件是根據受害者定制的，也就讓Fox-IT能夠從攻擊者使用的電子郵件文檔中出現的受害者名稱，來識別出他們的攻擊目標。

與許多其他國家支持的黑客組織不同，魔方并不使用零日漏洞利用突破目標系統，而是主要依靠網絡釣魚攻擊將受害者引誘到已被拿下的網站，利用已知漏洞將惡意軟件下載到他們的系統中。該組織還會劫持反病毒產品來運行他們的惡意軟件，這樣一來，即使受害者查看進程列表，能看到的也只是合法的反病毒程序，而其實內里早被替換成了惡意軟件。

研究人員發現攻擊者使用的一些代碼與之間的一個黑客組織所用的很相似。其釣魚郵件攻擊中所用的文檔是用WPS，一套與微軟Office相類似的辦公軟件。

攻擊歷史

第一次行動在2012年5月，襲擊了緬甸的一個政府實體。魔方黑掉了商務部的一臺服務器。同一個月，他們還攻擊了兩家德國汽車公司，其中一家參與了軍方裝甲坦克和卡車的技術開發，另一家則與火箭發射裝置有關。

2013年8月和9月，他們攻擊了美國的目標。一個案例里，他們通過電子郵件向美國軍方和政府工作人員發送了《21世紀電子戰要點》訓練課程的報名表。他們還針對過一家做太陽能電池研究的美國公司，以及印度2013國際防務展(DEFExpo)的參展商。在2014年，韓國一個不明組織是他們的攻擊目標；同年4月，他們利用一份聲稱是緬甸人權與制裁相關的文檔攻擊了緬甸的一個政府機構。

他們的目標范圍非常大，種類繁多，但技術和研發公司始終是他們追逐的。

但最具說服力的攻擊案例，是去年遭殃的一個緬甸政府實體和新加坡工程集團(CPG Corporation)，兩個機構均與緬甸皎漂經濟特區的外國投資決策有關。該經濟特區用減稅和延長土地租期來吸引外資。對于2009年就在該特區投資的某石油集團公司而言，皎漂經濟特區有著特別的吸引力。該公司簽署了一份建設港口和開發運營中緬油氣管道的諒解備忘錄，以省去必須經過馬六甲海峽運輸天然氣的麻煩。但在缺乏一份具有法律約束力的協議情況下，緬甸有可能會違約。

2014年3月，緬甸選擇了由新加坡工程集團領銜的財團幫助決策皎漂經濟特區的發展。2015年，該財團計劃宣布贏得基礎設施投資權的公司名單，但到了7月仍無結果漏出。那個時間，也正是魔方組織黑進了新加坡工程集團的時間。Fox-IT不清楚到底被竊取了哪些具體信息，但該時間點本身已經極具說明性。

該時間線是非常特定的，十分貼合決策期。因為在今年，該石油公司贏得了在緬甸經濟區建設油氣管道和港口的投標。