一、事件背景
继2023年12月,勒索组织“卫蜈蚣”(Rhysida)成功攻击中国能建集团后时隔一年半,该组织再度出击,将目标锁定为中国石油在美国的分支机构——中石油美国公司(CNPC USA)。
2025年6月16日,一则标题为《CNPC USA》的勒索通告在暗网平台悄然发布,发布者正是此前曾攻击中国能建集团的知名勒索组织——Rhysida。
本次攻击中,Rhysida直接曝光了受害单位的完整名称、企业 Logo 及内部文件抬头——毫无疑问,所针对的正是中国石油天然气集团公司(CNPC)在美国的分支机构:中石油美国公司(CNPC USA)。
Rhysida 此次将所窃取的数据标价 20 枚比特币(约合 215 万美元),并明确声明:仅售一位买家,7 天内完成交易,否则将予以公开披露。不过,通告中并未透露该批数据的总量与内容结构。
以下是该事件在 0.zone 平台上的镜像截图:
0.zone的事件镜像链接:https://0.zone/dow_details?id=8c00ecedfe3924466b51abd8684b1599&_index=darknet-html-000037
在这起显然经过预谋与筛选的网络勒索行动中,Rhysida 延续了其惯用的“威慑模式”——在勒索通告中同步公开部分“样本文件”,以证明攻击的真实性。通告中附带的两张模糊截图中,仍可隐约辨识出企业通信信息、员工护照影印件、美国税务表格与内部行政材料,引发外界对事件真实性与数据敏感度的极大关注。
目前中石油方面尚未就此事件做出公开回应。该事件已在网络安全与威胁情报圈引发持续热议。
二、关于中石油美国公司
中石油美国公司(CNPC USA)是中国石油天然气集团有限公司(CNPC, China National Petroleum Corporation)在美国设立的全资子公司或代表机构,主要负责集团在美洲地区的投资拓展、油气资源开发、贸易业务以及相关能源科技合作。公司注册地位于得克萨斯州休斯敦,这是北美油气行业的中心城市。
作为中国三大石油公司之一的中石油在海外的战略布局部分,CNPC USA 的主要业务包括:
油气资源勘探与收购评估
北美能源市场的贸易与融资服务
与美国本土能源公司或科研机构的合作交流
北美地区的政策、法律、税务信息的协调与支持
该机构常作为中石油全球布局的桥头堡,其在地缘政治、能源安全与跨国运营方面具有高度战略价值。
三、数据分析
在本次勒索事件中,Rhysida 按照其一贯的“示威式”操作手法,于暗网上公布了两张疑似来自受害机构的“样本文件”,以此佐证攻击的真实性。
图片1:
图片2:
第一张图片显示一封带有 “CNPC USA” 公司抬头的内部信函,信函旁附有三份美国护照扫描件。尽管整体画质模糊,信函内容无法辨识,但其中一份护照较为清晰,其持有人姓名为 “Sheng Jianshun”,出生日期为 1978 年 7 月 23 日,护照有效期从 2021 年 8 月 9 日至 2031 年 8 月 8 日,显示其与中国有关联。
第二张图片则包含多份涉税与雇佣类文件,包括两份美国税务身份识别表(位于图像中上部与右下角)、2022 与 2023 年度的工资税单(W-2 或 1099 系列)、一份保险雇主联系表格以及一份地址与通信记录表。由于图像模糊,这些表格中的关键信息难以确认,尚无法进一步溯源到具体个人或企业身份。
四、中国能建被Rhysida勒索
早在 2023 年底,Rhysida 就曾将黑手伸向另一家中国能源巨头——中国能源建设集团(中国能建)。在那起攻击中,勒索金额高达 50 枚比特币,按照当时比特币单价约 37,643 美元 计算,总金额接近 188 万美元,规模不容小觑。
尽管目前 Rhysida 已将该事件从其暗网公告中下架,但威胁情报平台 0.zone 仍保留了当时的镜像记录,构成重要佐证。
以下为该事件的截图:
0.zone的链接为:
https://0.zone/dow_details?id=c3236e7484efa9d10e21949f24c32ec7&_index=darknet-html-000025
五、结论
综合目前公开的材料,尽管尚无确凿证据直接指向中石油美国公司(CNPC USA),但样本文件中反复出现的公司标识、信函抬头,以及涉及中文背景个体的身份信息,已为该事件的可信度提供了强有力的间接佐证。
更值得警惕的是,Rhysida 此前多次勒索事件的真实性已被事后验证,包括针对中国能建等大型企业的攻击。因此,本次事件的严重性与潜在影响,绝不可轻视。
声明:本文来自零零信安,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
