从2018年至2020年，毒云藤组织利用大陆最常使用的社交软件，邮箱系统，以及政府机构网站，军工网站，高等院校网站等进行了大规模的仿制，目的便是获取到受害者尽可能多的个人信息，从而为打入内部提供便利。 如此前有所不同的是，如今该华语来源的攻击活动趋向渔网化，通过批量与定向投方相结合，采取信息探测的方式辅助下一步的定点攻击。该情报搜集活动被我们命名为“血茜草行动”(Operation Rubia cordifolia)，由于”血茜草”同”蒐”，而蒐一字经常用在繁体中文”蒐集情報”一词中，顾如此命名。目前我们将该系列攻击活动归属于著名的毒云藤组织。

自今年年初新冠病毒在国内全面爆发，奇安信威胁情报中心便立刻意识到在这样的非常时期，网络攻击者绝不会自我“隔离”。保障关键业务系统的安全稳定运行及信息安全、重要网站的正常运转和内容不被篡改、防范和阻断利用疫情相关热点的APT、黑产等网络攻击，是另一个当务之急。 在春节期间，奇安信红雨滴团队和奇安信CERT便建立了围绕疫情相关网络攻击活动的监控流程，以希冀在第一时间阻断相关攻击，并发布相关攻击预警。 截至目前，奇安信红雨滴团队捕获了数十个APT团伙利用疫情相关信息针对境内外进行网络攻击活动的案例，捕获了数百起黑产组织传播勒索病毒、远控木马等多类型恶意代码的攻击活动。并通过基于奇安信威胁情报中心威胁情报数据的全线产品阻断了数千次攻击。相关详细信息均及时上报国家和地方相关主管部门，为加强政企客户和公众防范意识，也将其中部分信息摘要发布。 在本报告中，我们将结合公开威胁情报来源和奇安信内部数据，针对疫情期间利用相关信息进行的网络攻击活动进行分析，主要针对疫情相关网络攻击态势、APT高级威胁活动、网络犯罪攻击活动，以及相关的攻击手法进行详细分析和总结。

从2007年开始至今，360追日团队发现毒云藤组织对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达11年的网络间谍活动。该组织主要关注军工、中美关系、两岸关系和海洋相关领域，其关注的领域与我们之前发布的海莲花（OceanLotus）APT组织有一定相似的地方。 360追日团队捕获毒云藤的首个木马出现在2007年12月。在之后的11年中我们先后捕获到了13个版本的恶意代码，涉及样本数量73个。该组织在初始攻击环节主要采用鱼叉式钓鱼邮件攻击，攻击之前对目标进行了深入调研和精心挑选，选用与目标所属行业或领域密切相关的内容构造诱饵文件和邮件，主要是采用相应具体领域相关会议材料、研究成果或通知公告等主题。