赛门铁克的安全研究人员报告黑客组织 Billbug aka Thrip aka Lotus Blossom 使用多种恶意程序入侵一家 CA 机构。CA 机构签发的证书对浏览器和操作系统至关重要，用于证明特定应用和服务器的身份。如果黑客获得了对 CA 机构基础设施的控制权，它可以给自己的恶意程序签名，更容易绕过终端防护。此外还可以冒充信任的网站或拦截加密数据。在入侵该 CA 机构过程中，黑客使用了后门程序如 Hannotog 和 Sagerunex，以及大量合法软件如 AdFind、Winmail、WinRAR、Ping、Tracert、Route、NBTscan、Certutil 和 Port Scanner。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/espionage-asia-governments-cert-authority