APT41 自 2020 年被美國起訴以來，其活動變得更加複雜，不僅在 TTP 方面，而且在歸因方面也變得更加困難。在 2021 年，多家資安廠商披露了 APT41 的幾個子組織（如 Earth Baku、Sparkling Goblin、Blackfly、Amoeba 和 GroupCC）的新威脅活動，這使得情況更加混亂。不幸的是，我們將再加入一個子組織到這個（惡名昭彰的）名人堂中，我們將其稱為 “Earth Longzhi”。Earth Longzhi 基於代碼重用和 TTP，與現有的 APT41 子組織存在一些重疊，但他們長期的威脅活動還沒有被完全揭露。據我們觀察，Earth Longzhi 自 2020 年初以來一直活躍，並不時改變其目標和 TTP。通過分析他們的威脅活動，我們識別了從 2020 年到 2022 年的兩個重大威脅活動。在這個演講中，通過 Earth Longzhi 的兩個威脅活動的技術細節，我們將揭示他們如何運用 TTP 進行活動以繞過檢測。除此之外，我們還將描述“我們如何進行歸因”的詳細過程。我們認為，分享歸因過程，而不僅僅是惡意程式的技術細節，將有助於未來其他安全研究人員。