Google Threat Intelligence Group(GTIG) 通过官方博客曝光了 APT24 间谍组织使用的 BadAudio 恶意程序。APT24 过去三年在受害者网络部署了此前未有记录的 BadAudio——一种高度混淆的第一阶段下载工具，用于建立持久访问权限。APT24 利用了供应链入侵、多层社会工程攻击以及滥用合法云服务如 Google Drive 和 OneDrive，展示了其攻击能力的持续演进。举例来说，从 2024 年 7 月起，APT24 多次入侵了一家台湾的数字营销公司，该公司为客户网站提供了 JS 库。APT24 通过入侵该公司，将恶意的 JS 代码注入到该公司的一个广泛使用的 JS 库，它还使用误植域名（Typosquatting）冒充合法 CDN 的域名。

https://cloud.google.com/blog/topics/threat-intelligence/apt24-pivot-to-multi-vector-attacks