Cloudflare 正被黑客濫用成為隱形網絡間諜平台

R2：隱蔽資料外洩

Cloudflare R2 係一個類似 Amazon S3 嘅物件儲存平台。攻擊者可以利用佢：

• 上傳由受感染網絡竊取嘅壓縮檔
• 儲存惡意程式或工具
• 透過 Cloudflare 網域分發檔案

喺馬來西亞案例入面，研究人員就發現一個腳本專門將竊取資料上傳到 Cloudflare 託管嘅儲存服務。

Cloudflare Pages：釣魚網站

Cloudflare Pages 主要用嚟快速部署靜態網站。攻擊者可以用佢建立釣魚登入頁面或假文件下載網站，同時利用 Cloudflare 網絡提高可信度。

Cloudflare Workers：邊緣 C2 中繼

Workers 係 Cloudflare 嘅 serverless 平台，可以喺邊緣節點執行程式碼。威脅行為者可利用佢：

• 將受害者導向釣魚網站
• 中繼 command‑and‑control（C2）流量
• 動態路由惡意通訊

研究甚至記錄到有遠端存取木馬（RAT）嘅控制基建直接運行喺 Cloudflare Workers 帳戶之上。

Cloudflare Tunnel：隱藏真正伺服器

Cloudflare Tunnel 可以將內部伺服器暴露到互聯網，但唔會公開真實 IP 地址。對攻擊者嚟講，呢個功能可以將惡意基建完全藏喺 Cloudflare 後面。

已有惡意活動利用 Tunnel 子域名託管惡意程式，再透過釣魚電郵或腳本下載鏈將 payload 傳播出去。

東南亞網絡間諜活動嘅更大背景

馬來西亞事件並唔係孤例。研究顯示，針對東南亞嘅間諜組織愈來愈依賴合法雲端平台來隱藏基建。

隨住數碼基建迅速擴張——特別係電訊、交通同能源領域——馬來西亞嘅網絡攻擊面亦持續擴大，同時其地緣政治重要性亦令佢成為情報蒐集目標。

區內幾個長期活躍嘅 APT 組織都展現出類似策略。

Mustang Panda

Mustang Panda 被認為係中國背景嘅網絡間諜組織，自 2012 年起活躍，經常利用釣魚郵件同誘餌文件針對政府、外交同研究機構。

APT41

APT41 同樣被廣泛評估為中國國家支持嘅威脅組織，過去多年針對多個國家同行業進行間諜活動，並使用大量自製惡意工具維持長期滲透。

Amaranth‑Dragon

近年另一個備受關注嘅團體係 Amaranth‑Dragon。研究人員認為佢與 APT41 生態系統關係密切，並於 2025 年對多個東盟國家政府同執法機構發動間諜攻擊。

目前公開資料未有將馬來西亞 Cloudflare 相關活動直接歸因於任何一個特定組織。不過其戰術——客製工具、區域性目標同高度隱蔽嘅基建——與多個國家級間諜行動非常相似。

點解防守方咁難偵測

最大問題係：相關網絡流量看起來完全合法。

例如連接到 Cloudflare 儲存或 Workers 端點，喺技術上同普通網站 HTTPS 流量幾乎冇分別。而且好多企業本身就依賴 Cloudflare，直接封鎖整個服務通常並不可行。

因此安全團隊開始更依賴「行為偵測」而唔係單純域名封鎖，例如留意：

• 內部系統突然向 Cloudflare 儲存端點大量上傳資料
• 新出現嘅 Cloudflare 子域名被內部伺服器連線
• 壓縮檔建立後出現大型 HTTPS POST 外傳
• 平時唔上網嘅伺服器突然與雲端端點通訊
• Cloudflare 流量同憑證擷取或資料庫存取活動同時出現

更大的安全啟示

馬來西亞事件突顯咗一個關鍵變化：現代攻擊者愈來愈少建立「明顯惡意」嘅基建，而係直接藏身喺全球信任嘅雲端平台之中。

對防守方而言，安全策略亦必須轉型——由單純嘅允許清單同域名信譽檢查，轉向更深入監控身份、行為模式同資料流動。

當惡意基建本身就隱藏喺 Cloudflare 之類嘅平台入面，真正嘅問題已經唔再係「流量去咗邊」，而係「流量做緊乜」。