俄内部安全文件遭黑客曝光:长期视中共国为敌国 紧急反制中共APT渗透
【路德社·报道 ET 2025年11月23日】
在俄乌战争进入长期消耗阶段之际,意大利安全分析平台 Extrema Ratio 公布的最新研究指出,中共一边对外高喊与俄罗斯建立所谓“无上限伙伴关系”,一边却在情报与网络战领域对俄罗斯实施系统性渗透和技术窃取。根据被曝光的俄联邦安全局机密文件,北京在俄内部安全体系中被明确定义为“敌人”,这说明所谓“无上限伙伴”从一开始就是对外包装,本质是一种没有契约、没有信任的利益捆绑和相互渗透。
注:“中俄无上限伙伴关系”是习近平在2022年2月访问俄罗斯时提出。
报道援引俄联邦安全局(FSB)的一份机密文件称,在俄乌战事全面爆发之后,莫斯科安全部门专门启动了代号为“协约−4”的反间谍行动,用于应对来自中共国的情报威胁。文件将北京列为“敌人”,理由包括中方通过情报部门和网络攻击团队大规模刺探俄罗斯的军工机密、战场经验和战略规划。Extrema Ratio 指出,中共对外宣称的是“伙伴”“协作”,但在内部运作层面,双方从未按真正盟友对待彼此,而是把对方当作可利用的工具和必须防范的目标,这与中共一贯“不讲法律、不讲契约”的政治传统高度一致。
在具体技术层面,报告重点分析了与中共国安部关联的网络攻击组织 APT31,也被称为“打击熊猫”。研究显示,2024 年至 2025 年期间,APT31 持续大规模攻击俄罗斯的信息技术产业和国家级供应商,优先锁定为政府、军警和关键基础设施提供服务的 IT 企业。同时,APT31 还将攻击矛头直接指向俄防务巨头 Rostec,重点窃取电子战系统、无人机运用战术等与现代战争直接相关的技术资料。
APT31 使用的武器库显示出高度隐蔽性和成熟度。Extrema Ratio 引用俄罗斯正负技术公司的一份深入技术报告指出,该组织运用多种恶意程序和基础设施组合开展行动,其中包括利用谷歌旗下的恶意代码分析与情报平台 VirusTotal 进行隐蔽通信的 VtChatter,以及基于合法云服务搭建的指挥控制通道。攻击者频繁滥用微软 OneDrive、俄本土的搜索引擎公司 Yandex 等云服务,将窃取到的登录凭证、配置文件和内部文档伪装为正常业务流量进行外传。这种做法使俄方传统的安全审计与流量监控更难区分“日常业务”和“数据泄露”,大幅降低了检测难度。
Extrema Ratio 强调,这类活动并非俄乌战争爆发后的偶发现象,而是中共对俄长期网络间谍策略的加速与升级。早在 2021 年,一次针对俄罗斯核潜艇设计单位的攻击就被安全公司记录下来。当时,俄罗斯鲁宾海洋工程中央设计局收到携带恶意附件的“官方文件”,打开后即触发名为 PortDoor 的后门程序,攻击目的是深度掌握俄潜艇研发体系和相关军工链条。该事件在当时就被多家安全机构归因于与中共有密切联系的黑客团队,成为中共对俄军事机密下手的早期注脚。
与 APT31 并行的,还有 Mustang Panda、Slime19 等多支中方背景网络间谍组织。Extrema Ratio 指出,这些团伙多年来一直活跃在“丝绸之路”沿线国家及欧洲政界与政府系统之中,如今进一步把俄罗斯政府机构、能源巨头和国有企业纳入攻击范围。Mustang Panda 被多次发现向俄官员、外交系统与安全机构发送高度定制化的钓鱼邮件,伪装成政策文件、国际会议材料或法律文书,诱导目标在毫无防备的情况下打开恶意附件;而 Slime19 则被指长期围绕俄能源和防务部门部署持久化后门,收集决策流程、资产分布和技术细节。
在 Extrema Ratio 看来,中共之所以在对外口头上不断强化与俄“结盟”“抱团”的形象,却在现实中加剧对俄的系统性渗透,背后真正的驱动力是乌克兰战场所提供的“现代战争教科书”。俄军在无人机蜂群运用、电子干扰与反干扰、对西方制式武器的应对,以及纵深后勤保障等方面的表现,都在真实战场环境中持续暴露。对于急于为台海冲突及更大范围冲突做准备的中共军方而言,这些来自俄乌战线的一手数据和实战经验是极其宝贵的情报资产。
报道指出,乌克兰战争在中共视角下,实质上已经被当作一个大型“情报实验室”来利用。中共网军和情报机构通过对俄军工企业、军事承包商以及政府系统的持续入侵,试图在最短时间内还原“俄军如何打仗”“西方武器如何投入战场”“各种战法实战效果如何”等关键问题,并在此基础上重构自身的战略预案与作战条令。这一过程完全不考虑所谓“盟友”的感受,甚至正是利用对方在战争中的脆弱窗口期,集中偷取技术和情报。
对于俄罗斯来说,这一现实揭示出中俄关系的结构性特点。一方面,在西方制裁和战事压力之下,俄方在能源出口、零部件供应和对外结算上对中共国的依赖不断加深,政治宣传层面必须不断强化“伙伴”“共同对抗西方”的形象;另一方面,其内部安全和情报系统却不得不把中共当作需要严防死守的关键威胁对象,甚至通过机密文件将北京列为“敌人”,并投入资源监控中资机构、中方平台以及来自中共国的技术合作项目。
Extrema Ratio 认为,从这些技术细节与内部文件可以看出,中共宣称的“无上限伙伴关系”从一开始就并不存在真实的联盟基础,更谈不上什么“互信”。所谓“无上限”,只是对外包装的一句口号,用来谋求对俄资源、通道和外交空间的最大化利用;在具体操作层面,中共既要从俄罗斯身上获取尽可能多的战争经验与核心技术,又要为未来台海及印太潜在冲突预留最大筹码。因此,在网络空间和情报领域对俄罗斯下重手、深度渗透,只是这种利益逻辑的自然延伸。
从欧洲与亚太国家的角度看,这一系列披露不仅戳破了“中俄无上限伙伴”的政治宣传,更清楚地展示了中共对外行动的基本范式:所有口头承诺与政治豪言,都服从于自身国家利益和安全布局;所谓伙伴,只要不具备刚性的法律与制度约束,就随时可以被牺牲或背刺。乌克兰战场已经成为这一范式的最新实验场,下一步这些经验如何被移植到台海与更广泛的印太地区,值得各方高度警惕。
- 参考资料
- Extrema Ratio 安全分析平台 | 中共阴影笼罩俄罗斯:网络战与潜在紧张关系的最新分析
- 正负技术公司(Positive Technologies) | 打击熊猫攻击:APT31 今天
- 卡巴斯基实验室 | 卡巴斯基发现针对俄罗斯政府机构的新 APT 组织 CloudSorcerer
- 卡巴斯基实验室 | EastWind 行动:CloudSorcerer 等恶意程序攻击俄罗斯政府与 IT 机构
- SFG 媒体 | 俄罗斯情报部门警告中国威胁:在普京与习近平“亲密”表象下启动协约-4 反间谍计划
- Cybereason 威胁情报团队 | PortDoor:瞄准俄罗斯防务部门的新型中国 APT 后门攻击
- The Hacker News 网络安全媒体 | 新型中国恶意软件攻击俄罗斯最大核潜艇设计机构
- 意大利 Cybersecurity360 网站 | 中国针对俄罗斯的网络间谍活动升级:动机与战术分析
- 希腊 Newsbomb 新闻网 | 中国黑客入侵俄罗斯:盟友之间为战争机密展开网络攻击
- The Record 网络安全媒体 | 疑似中国黑客利用 PortDoor 攻击俄罗斯核潜艇设计局
Responses