看不見的間諜：一場同時針對政府與異見者的網路行動

一封看似普通的電子郵件，裡面沒有附件、沒有可疑連結——但你一打開它，對方就知道你在哪裡。

這場行動究竟做了什麼

2026年5月1日，資安企業 Trend Micro 的研究人員公開了一場此前從未被記錄的中國陣營諜報行動。代號「Shadow-Earth-053」的這場行動，至少從2024年12月起便已運作，滲透目標涵蓋巴基斯坦、泰國、馬來西亞、印度、緬甸、斯里蘭卡與台灣的政府部會及國防承包商，並延伸至北約成員國波蘭的政府與國防網路，同時鎖定新聞記者及海外僑民活動人士。

這場行動的特殊之處，在於它的「雙軌結構」。第一軌是傳統諜報：攻擊者利用未修補的 Microsoft Exchange 與 IIS 伺服器漏洞（包括「ProxyLogon」）取得初始存取權限，隨後植入客製化後門與長期潛伏型惡意程式，有時將其偽裝在外觀完全正常的檔案之中。在某一案例中，攻擊者甚至利用一個此前未知的零日漏洞，在 Linux 系統上部署遠端存取工具。

第二軌則更為敏感。兩個關聯釣魚行動「Glitter Carp」（2025年4月啟動）與「Sequin Carp」（2025年6月啟動）專門針對維吾爾族、藏族、台灣人及香港異見者，以及調查性新聞記者。攻擊手法是偽裝成熟人或科技公司安全警示的電子郵件，信中嵌入1×1像素的透明追蹤圖片——收件人一旦開信，發送方便能得知郵件已被閱讀，並獲取收件人的裝置資訊與大致位置，隨後再引導受害者前往假冒登入頁面竊取帳號憑證。

標的中約半數同時遭到關聯行動「Shadow-Earth-054」的攻擊，顯示多個情報蒐集單位之間存在協調或重疊的優先目標。

為什麼這件事的時機格外重要

就在這份報告公開前數日，荷蘭軍事情報機構發布評估，指出中國的進攻性網路能力近年急速提升，已與美國達到同等水準。

廣告

廣告合作

[email protected]

廣告

這並非偶然。習近平自2014年起便將建設「網路強國」列為核心國家目標。制度層面的推進相當系統化：2015年，解放軍成立「戰略支援部隊」，將網路、電子戰與太空能力統一指揮；2024年，戰略支援部隊遭解散，獨立的「網路空間部隊」正式成立，消除了官僚層級的重疊，使攻擊工具與基礎設施的調整速度大幅加快。

預算方面，中國2026年度國防預算較前年增加7%，達約2,750億美元，其中明確包含網路能力建設的資金。民間承包商的介入也讓北京多了一層彈性——私人企業可測試新工具、執行行動，同時為北京提供一定程度的「切割空間」。美國情報界的「2026年度威脅評估」確認，中國依然是針對美國政府、私部門與關鍵基礎設施最活躍、最持續的網路威脅。

對台灣、香港與海外華人社群意味著什麼

Shadow-Earth-053 的雙軌結構，對華人世界有著特殊的現實意義。

台灣不僅是政府諜報的目標，台灣人活動人士也是釣魚行動的標的。這意味著北京在網路空間中同時進行兩件事：蒐集台灣的國防與政策情報，並試圖追蹤、壓制海外台灣社群的政治聲音。這種「裡外夾擊」的設計，讓台灣面對的網路威脅遠比單純的軍事諜報更為複雜。

香港異見者與維吾爾族群的處境同樣值得關注。許多人離開中國管轄地區後，以為距離帶來了安全。但這場行動顯示，數位邊界並不等同於實體邊界——一封電子郵件就足以讓北京知道你在哪裡、用什麼裝置、何時查看郵件。這種「跨國數位鎮壓」不只是人權問題；當海外異見聲音被系統性壓制，民主社會賴以制衡威權政府的資訊生態也隨之受損。

從北京的角度看，這套邏輯是一貫的：海外批評者被視為國內安全問題的延伸，而非主權管轄範圍之外的獨立個體。中國軍事文獻中明確提及的「認知域作戰」，正是要透過網路手段塑造對手的思維與論述。

波蘭案例則揭示了另一個維度。波蘭是西方對烏克蘭軍事援助的主要轉運樞紐，約90%的軍援物資經由波蘭過境，其與印太地區日益深化的防務關係，使其成為北京的高價值目標。這說明中國的網路諜報已不僅限於亞洲或經濟竊密，而是在系統性地尋找可以製造同盟摩擦的切入點。

各方回應上，被點名的政府普遍保持低調，未有正面回應 Trend Micro 的披露。這種沉默本身也是一種資訊：公開承認遭到滲透，對任何政府而言都是政治敏感議題，即便沉默意味著問題持續存在。