被美制裁的中共最大网安公司“知道创宇”遭入侵，国家级网络行动链络流出

【路德社·报道 ET 2025年11月12日】

11月上旬，海外安全研究者与多家科技媒体披露，中共国最大的网络安全公司“知道创宇（KnownSec）”发生内部材料外泄。该公司早已因“军民融合”属性被美方纳入制裁与限制清单（含美国国防部“1260H中国军事公司”名单）。此次外泄被称规模逾12000份，最初流出于开源平台后被下架，其后在暗网出现兜售迹象。目前已公开的文档，勾勒出一条面向境内外关键信息基础设施的国家级与工程化的网络行动链络。

除工具与平台页外，部分清单声称列出境外目标与数据样本：包括被攻克的海外组织清单、印度移民相关数据约95GB、韩国通信运营商LG U+ 通联数据约 3TB，以及台湾地区边界与远程接入入口的集中罗列。

公司与资本属性显示为中共国家背景。北京知道创宇信息技术股份有限公司成立于2007年，法定代表人赵伟，公开业务包括云防御、云监测与网络空间测绘。融资路径为：2012年B轮腾讯、百度进入；2015年C轮腾讯追加投资6亿元人民币；2021年D轮由中移股权（中国移动系）、中国互联网投资基金（由中央网信办与财政部发起的国家级基金）、中电科基金（中国电子科技集团系）联合入资。资金与客户两端国家化，决定其研发与交付面向军民融合任务场景。

目的、能力与运作框架：围绕国家任务对高价值目标持续测绘与优先级排序，用攻防与取证组件实施定点渗透，再把成果回灌至指挥与大数据平台，形成“感知→研判→处置/打点→回填”的流水线。
・上游以面向全互联网的资产搜索引擎的“钟馗之眼”叠加“关键目标库”完成资产映射与风险筛选，宣称可按高危或“零日”条件过滤互联网暴露面；样例涉及台湾边界设备与印度金融、军工、政党、电信、能源等板块。
・中段出现面向 Windows 的远程控制程序、通过网页脚本获取会话并镜像收取邮件内容的工具（Un-Mail）、基于无线建连缺陷的入侵流程（KRACK），以及抓包离线解析，用于落点、横向与证据获取。
・下游项目方案对应“互联网监控、指挥中心、警务大数据平台、专网工程”等落地场景，将上游情报与中段能力整合到处置与复盘环节。

落地路径与中共公安系统直接对接。项目方案将公安体系拆分为信通、网监（含管理与特侦）、指挥中心及其他业务局，并逐一对应到“动态外部感知、合规与漏洞检查、网络攻防平台、特侦工具、警务大数据与合成指挥”等交付项，形成“科队—平台—项目”的映射结构。含义：并非只做防御，而是把测绘情报、攻防组件与指挥平台成套打包，常态化嵌入“感知—研判—处置—回填”的警务流程。

公司回应将舆情追溯至2023年8月“第三方云桌面被3个零日漏洞利用”的旧案，称生产系统安全、无新增入侵，泄露范围仅为员工与客户名单层级信息。

该军民融合企业可执行的国家任务：

平时（长期铺设与情报供给）：
建立可持续的对外进入点与信息来源，为后续行动做素材与踏板准备；通过全网测绘与“关键目标库”选靶、邮箱与会话镜像获取、边界与远程运维口的长期控场、抓包离线还原与证书／域名关系图谱构建，将数据沉淀进数据湖并持续回填；典型对象涵盖政府与政党组织、军工与关键制造、电信与骨干网、能源与金融、媒体与大型平台；最终交付目标优先级清单、账号与关系画像、稳定回连与镜像通道、资产拓扑与风险指纹，以及周期性情报简报。

危机（定点打击与专案支撑）：
在限定时间内取得关键控制权与可采信证据，支撑执法、反制或影响行动；依托既有踏板快速落点与横向扩展，固化日志／抓包／截屏与时间线，按需实施账户接管与内容替换并可触发短时示警或报复式打点；典型对象为涉案机关与其外网入口、关键行业运行支撑系统、涉案组织与关键个人的通信与身份体系；可交付处置单与抓捕清单、完整证据包与复盘报告、命中与暴露评估，以及后续封堵与清理建议。

战时（支援网电战与合成指挥）：
将平时情报与踏板切换为作战资源，服务“瘫痪／降级／欺骗”与联合作战调度；对边界路由与名称解析、身份与证书基础设施实施定点干扰，回传一线效果并迭代策略，联动军警合成指挥平台形成自动工单流与跨域协同；典型对象为指挥控制相关信息化系统、远程接入与边界设备、关键行业核心运行平台；可交付战时态势看板与联合作战接口、可快速启用的策略与脚本包、处置与评估闭环的回填机制。

核心产品：钟馗之眼（ZoomEye）

钟馗之眼，是面向全互联网的“资产搜索引擎”。
它把互联网上能直接被访问的设备与服务做成目录，并给出“可能存在哪些弱点”的提示。按照其页面写的要点：覆盖全球公开的互联网地址（常说的 IPv4），识别四万多种软件／设备指纹，7–10 天内遍历选定端口与协议，并对重点协议或热门资产每 24 小时做增量重扫以保持结果新鲜。最后把这些信息与已知漏洞库做规则匹配，生成“某主机可能存在的漏洞”列表（基于静态推断，非实测利用）。

边界与限制：
・结论主要是“推断”，不等于真被打穿，会有误报与漏报。
・不可能把所有端口和冷门协议都扫到；被隐藏或伪装也看不见。
・不同国家和网络对主动扫描的规定不一样，存在边界。
・一旦它的识别规则和扫描策略泄出，别人可以照着做，或者绕过它的探测。

作用：
・给情报和网络进攻单位一份“候选清单”，附带优先级和落点参数（开了哪些口、跑的什么软件、在哪个地区、归属谁）。
・给政府和大型机构一面“外部体检镜子”，知道自己对外暴露了什么，先修最危险的口子。
・给决策层一份“态势看板”，看哪个行业、哪个地区暴露多、风险高。

计算机远程控制系统（Windows 木马）

计算机远程控制系统，是面向 Windows 的远程控制程序。植入到目标电脑后，在后台长期驻留，远程执行各类操作。按页面要点：兼容 Windows NT 内核（2000 及以上）；包含文件浏览、进程管理、屏幕监控、键盘记录、口令提取、离线操作、上下线提醒等；声称可绕过四十余款主流杀毒与“主动防御”，并可穿越各类个人防火墙；可真正绕过 UAC；回连通道支持 UDP、DNS，且可定制；并标注“一年服务期”（持续更新与免杀维护）。

Wi-Fi 攻击（KRACK 与思路）

通过让设备在连上无线网络时重复安装同一把会话钥匙，把本应加密的无线数据变成可读取、可改写的状态。最终获取账号与会话，读取或改写无线流量，并把无线入口当作进入内网的跳板，扩大控制范围。

攻击者先建立一个与真热点名称相同或相似的无线网络，并把自己放在“设备－路由器”之间充当中间人。向手机或电脑发送断开信号，把它从真热点上踢下线；设备随后自动连接到假热点。设备与路由器在连接时会走一个“四步建连流程”，用于生成当次上网的临时钥匙。攻击者在第3步反复发送同一条建连消息，迫使设备再次安装同一把临时钥匙，并把用于阻止旧数据被重复利用的计数器清零。加密保护因此被削弱，攻击者便可在一段时间窗口内读取你的无线数据，并插入或改写数据包（例如将访问页面替换为钓鱼页面，或替换下载内容）。

离线数据包（抓包文件快速解析）

把已有的网络抓包文件（pcap 格式）上传到平台，在不接入目标网络的情况下离线解析，迅速还原通信并提取资产信息。适用于紧急溯源、无法在线扫描、或只掌握少量关键样本的场景。

在平台创建“离线任务”，选择“离线数据包”，上传 pcap 文件。系统自动解析，给出主机与地址、开放服务与协议、会话关系、域名与证书、常见指纹与初步风险提示，并生成可导出的报告。

便于快速复盘与定位可疑主机和服务，生成处置清单。在无法现场取证或不便主动扫描时，以样本驱动的方式完成资产溯源与风险判断。

邮件取证平台（Un-Mail）

面向各类邮箱的“获取账号与镜像收取”工具，目标是拿到登录状态，并在不打扰用户的情况下持续同步其邮箱内容与联系人等信息。设置隐蔽转发实现持久访问；将邮箱作为后续社工、内网渗透与账户重置的跳板。

做法包括：在邮箱网页里插入恶意代码进行网页注入（跨站脚本）以窃取账号、口令或浏览器保存的登录凭据（Cookie）；通过挂载恶意页面的假页面与植入获取登录信息；直接利用已登录浏览器会话的浏览器凭据劫持，无需再次输入口令；用标准邮件协议进行离线同步的协议收取；设置自动转发、关键词告警、消息通知、过滤与快速搜索以实现 24 小时不停收取且不改动已读／未读状态的持续控制；并适配“几十种邮箱”以覆盖国内外常见服务。

数据采集与“关基映射”

下述这组内部页展示的是一条面向国家与行业的情报建库链路：把跨国来源的账号与通信样本、网站/应用泄露集、以及各机构对外暴露的网络设备，统一汇入大数据仓，按“国家—行业—资产类型”做结构化归档，随后生成“目标库”和“关键信息基础设施地图”。

目录界面：数据被长期、系统化地汇入与沉淀，类别涵盖电信运营信息、邮箱与社交应用数据、商业平台与订单样本等。背后是数据湖/仓库式管理，这意味着收集不是一次性动作，而是可迭代维护、可被任务化复用的“材料库”。

表格：账号类数据被清洗成标准字段（邮箱、用户名、口令、手机号、实名/证件号、来源批次等），可直接用于撞库、关联身份与画像合成。这类素材一旦与测绘结果合并，能把“哪台设备归谁管、谁在用什么账号”串起来，显著降低后续打点门槛。

统计：平台不是面向单一国家或单一行业，而是多地区、多行业的覆盖型工程。口径直接指向政府、政党、军工、能源、交通、电信、金融、医疗、教育、媒体等关基板块，表明其目标是为国家级行动提供横向广覆盖的“目标池”。

数据示例：对台湾地区，样例直接点名边界安全设备与远程接入入口（防火墙、VPN、网关等）的对外服务与管理界面。这类清单可一键对照厂商漏洞公告与版本历史，用于快速选靶与版本打点，也是国家级对手惯常优先突破的入口。

行业矩阵：以国家为单位，把政府体系、军工与基础行业的外网资产做结构化盘点与切片，便于按“行业优先级—可见面大小—潜在影响”三维给出行动顺序，并把任务分发到不同执行团队（邮箱取证、边界渗透、内网扩展等）。

公安行业机会点图

这不是通用安防市场图，而是对公安体系的精准对接清单：把公安内部的条线与科队，逐一映射到可售项目与工具包，形成“组织结构→产品/平台→落地场景”的一条龙切入。

图中四个入口与对应供给
- 信通（信息化通信条线）
  切入点：内外网专网建设、等级保护建设、数据中心与“大数据产品”、外围防护（“创宇盾”类）、项目申报。
  含义：卖基础网络与合规工程，带自家防护与数据平台一并入场。
- 网监（网络安全保卫条线）
  管理支队：动态感知平台（外部攻击面/测绘/态势）、安全检查（合规与漏洞扫测）、通报（自动化报表与处置单）。
  特侦支队：网络攻防平台（红蓝对抗/渗透工具与C2）、特侦小工具（取证、破解、钓鱼等）、大数据产品（账号情报与数据湖）。
  含义：这里明确包含“进攻与取证”，不只是被动防守。
- 指挥中心
  切入点：大数据警务平台（合成作战平台）。
  含义：把多源数据、预警、研判、指挥调度做成一体化中枢，支撑合成作战。
- 其他业务局（技侦、消防、国保、交警、刑侦/反诈等）
  切入点：条线化的专项系统与接入改造。
  含义：按条线扩展，做接口、数据接入与专用工具交付。

这套图反映出与国家机关的深度绑定：供给按公安组织结构逐项对应，销售与交付沿“科队—平台—项目”设计，具备入围与采购通道；定位为攻防一体，出现“网络攻防平台、特侦小工具、合成作战”等表述，角色不止安防厂商，更是警务数字化与进攻/取证外包商；其数据底座可复用，前述测绘、邮箱取证、远控、数据湖被包装为“动态感知、特侦工具、大数据产品”并统一接入警务平台；交付模式任务化，按“感知→研判→处置/打点→回填”闭环运转，覆盖巡检、专项整治、红蓝演练与专案支撑；由此带来外溢风险，一旦平台数据或目标库外泄，等于国家级选靶与情报底座外流，被覆盖国家与关基行业的威胁显著上升。

公安条线切入图：指挥中心与网监特侦

这些图是面向公安系统的内部售前/投标映射表。把组织条线（信通、网监/特侦、指挥中心、其他业务局）逐一对应到可交付的产品与服务：大数据警务/合成作战平台、动态外部感知与安全检查、网络攻防平台与特侦工具、培训与情报分析等，形成“感知→研判→处置/打点→回填”的任务化闭环。

深度绑定国家机关，按“科队—平台—项目”设计，具备采购入围路径；定位为攻防一体，不止防御，还提供进攻与取证的外包交付；复用同一情报与数据底座（测绘、账号／邮箱取证、远控、数据湖），可跨地区、跨行业扩展；外溢风险高，一旦平台数据或目标库泄露，相当于国家级选靶与作战流程外流；防守启示是先查边界设备与远程管理口，关闭邮箱自动转发，启用双重验证与非常驻地登录审计，最小化对外暴露面。

参考资料
- 作者 NetAskari | “知道创宇”数据泄露事件：目前已知情况。
- 社媒 X – International Cyber Digest | 中国最大的网络安全公司知道创宇遭到入侵，泄露了中国国家网络行动的细节

重点内容摘要： 1. 中国现今是美国面临的最活跃、最持久的网络威胁来源美国情报界评估指出，中国不仅在网络空间大规模渗透，而且还并未取代老式的人力情报（HUMINT）运作模式。中国通过驻外间谍持续监控并影响全球事件，包括在美国。前美国外交官及资深情报专家吉姆·刘易斯（Jim Lewis）称： “在规模、广度和胆量上，这是美国历史上最大规模的间谍行动。” 他指出，自2012年习近平上台后，中国对美国的间谍操作愈发毫无顾忌。 2. 中国情报机构的全球野心与官方宣传 3. 监控海外华人及留美学生群体 4. 国安部的“招募策略”与心理施压手段 5. 被捕后的处理与后果该专访虽然重点未深入阐述个案细节，但暗示一旦中国间谍在美被捕，美国往往以“未注册外国代理人”（FARA）罪名起诉，并以国家安全理由强化审判压力。媒体未提及具体判决或案例，但表明美国司法系统对此类行为的执法力度持续增强。总结重点案例讲解：重点案例：王书君（Shujun Wang）点评与分析总结：王书君案件说明，中共的间谍活动已从“单点精确渗透”进化为“碎片化、群众化、超限战式”的非传统情报收集。这使得美国不仅要防范专业情报官员，还必须面对一种广撒网、模糊化、低成本但高效的“全民间谍”模式。