混合战争：以伊战争中的网络攻击、黑客行动主义和虚假信息

编者按

以色列网络安全公司Radware于6月18日发布报告，概述了与以色列和伊朗最新冲突相关的最重大的网络活动，包括国家支持的行动、黑客行动主义攻击和虚假信息传播。

报告称，在以色列方面，自冲突爆发以来，与以色列网络部队相关的黑客组织“掠食性麻雀”攻击了伊朗国有银行塞帕，并破坏了该银数据，导致大面积服务中断，如客户无法访问账户、提取现金或使用银行卡等；该组织还入侵了伊朗大型加密货币交易所Nobitex，盗窃取超过8000元的数字资产，威胁将公布该交易所的和内部数据，并警告用户取出所有剩余资金。在伊朗方面，自冲突爆发以来，伊朗的网络攻击一直很积极，但迄今为止规模较小，主要采取心理战；与伊朗有关联的攻击者针对以色列民用系统发动了多起网络钓鱼电子邮件、 DDoS攻击和虚假警报信息，相关虚假信息攻击的目的是在以色列后方制造恐慌；除非冲突进一步升级，否则伊朗顶级黑客可能正在保留更具破坏性的网络武器；但鉴于伊朗军事回应能力因以色列的军事打击而下降，伊朗比以往任何时候都更有可能通过网络攻击作为一种非对称的替代方案进行报复；伊朗国家黑客可能部署勒索软件或恶意数据擦除软件来破坏以色列的关键服务，或试图通过更隐蔽的间谍入侵窃取敏感的军事数据。

报告称，全球众多黑客组织纷纷在以色列和伊朗冲突中“选边站队”，其中大多数黑客组织表态支持伊朗；Radware追踪到的所有黑客DDoS活动中，近40%都针对以色列，每天大约有30起，6月14日则高达40起；针对以色列的攻击活动主要由两个组织领导，分别是“哈姆扎先生”）和“阿拉伯幽灵”；以色列最常遭受黑客行动主义DDoS攻击的五大行业涉及到政府和公共部门（约27%）、制造业（约20%）、电信（约12%）、媒体与互联网（约9%）以及银行和金融服务（约5.3%）；除以色列外，黑客组织还宣布针对美国、英国、约旦、埃及等国发动网络攻击。

报告称，伴随着以色列和伊朗冲突，社交媒体和通讯平台上正上演着一场“平行的信息战”，双方都试图控制叙事并影响公众舆论，主要策略包括：一是通过发布虚假紧急警报来制造恐慌；二是通过社交媒体僵尸网络来塑造对冲突的看法；三是通过虚假图像和人工智能生成的媒体来误导舆论或煽动公众愤怒；四是加强对国内互联网的控制并塑造战争叙事。

报告总结称，冲突初期的敌对行动表明，以色列与伊朗的冲突在网络空间和地面上都愈演愈烈；以色列和伊朗都充分意识到网络空间是这场战争的关键战场，如果战略需要，双方都准备发动更强大的数字化行动；尽管伊朗最危险的网络武器可能仍在储备中，但国家支持的网络攻击已经袭击了重要目标；如果“网络交火”加剧，可以产生地区性或全球性外溢，关键基础设施、供应链乃至全球企业都可能成为附带目标；网络虚假信息和影响力活动在冲突期间异常活跃，其背后是虚假人物和虚假媒体的推波助澜，虚假叙述、篡改证据和战略性审查无所不在，这种“数字战争迷雾”使公众难以辨别真相，也凸显了现代冲突不仅依靠导弹，还依靠“表情包和即时通讯应用”；以色列和伊朗最新冲突是现代混合战争的一个鲜明例证，“字节和叙事”在战斗中的重要性丝毫不逊于“炸弹和导弹”。

奇安网情局编译有关情况，供读者参考。

混合战争揭开序幕：2025年以伊战争中的网络攻击、黑客行动主义和虚假信息

冲突开始以来的主要见解：

• 以色列对伊朗金融基础设施发动高强度网络攻击

• 伊朗以虚假信息和心理战作出回应

• 黑客活动激增，严重偏向伊朗一方

• 虚假信息和人工智能生成的媒体继续充斥着网络叙事

• 网络冲突威胁着地区和全球蔓延

6月13日，以色列与伊朗爆发公开冲突，以色列空袭伊朗核设施和军事设施，伊朗则以导弹回击。此次冲突迅速蔓延至网络空间。两国都是著名的网络强国，彼此之间长期存在数字攻击。自战争爆发以来，政府支持的黑客、爱国黑客行动主义者、网络宣传人员以及投机取巧的网络犯罪分子都活跃于此。本报告概述了与这场冲突相关的最重大的网络活动，包括国家支持的行动、黑客行动主义攻击和虚假信息传播。

01

国家支持的网络攻击

1、以色列行动

以色列拥有强大的网络攻击能力，最著名的例子是2010年破坏伊朗铀离心机的“震网”病毒。在此次冲突中，与以色列有关联的行为者已经对伊朗关键基础设施发动了大规模网络攻击。6月17日，以色列黑客组织“掠食麻雀”声称已入侵伊朗国有银行赛帕（Sepah），并摧毁了该银行的数据。此次攻击导致大面积服务中断。伊朗媒体报道称，客户无法访问账户、提取现金或使用银行卡。“掠食性麻雀”被广泛视为以色列网络部队的幌子，曾多次在伊朗制造物理破坏。该组织此前还曾破坏过钢铁厂、铁路和加油站。

图1：“掠食性麻雀”宣布销毁塞帕银行数据

（来源：社交媒体X）

就在银行遭黑客攻击的第二天，“掠食性麻雀”宣布其入侵了伊朗一家大型加密货币交易所Nobitex，称其为“资助恐怖主义和违反制裁的工具”。黑客威胁称将在24小时内公布Nobitex的源代码和内部数据，并警告用户取出所有剩余资金。区块链调查人员随后证实，此次入侵事件中，Nobitex钱包中约有 8170 万美元的数字资产被盗。

图2：“掠食性麻雀”宣布攻破Nobitex

（来源：社交媒体X）

2、伊朗行动

伊朗方面，有相当多受政府支持的威胁组织参与间谍活动和破坏性攻击。过去，APT34（OilRig）、APT35（Charming Kitten）、APT39（Remix Kitten）等隶属于伊朗革命卫队（IRGC）的组织曾将以色列的基础设施作为目标，包括供水系统、交通控制甚至监控网络。自冲突爆发以来，伊朗的网络攻击一直很积极，但迄今为止规模较小，主要采取心理战。以色列网络安全官员报告称，在最初袭击后的几天内，与伊朗有关联的攻击者针对以色列民用系统发动了多起网络钓鱼电子邮件、 DDoS攻击和虚假警报信息。例如，敌对行动爆发后不久，许多以色列人收到了令人震惊的虚假短信。一条短信声称加油站的燃料供应将在24小时内耗尽。另一条短信警告称，一个避难所即将发生恐怖爆炸。所有这些信息都是伪造的，看起来像是由以色列后方司令部发送的。这些都是虚假信息攻击，目的是在后方制造恐慌。

分析人士认为，除非冲突进一步升级，否则伊朗顶级黑客可能正在保留更具破坏性的网络武器。然而，鉴于以色列空袭造成数名高级指挥官死亡并摧毁基地后伊朗军事回应能力的下降，可以肯定地认为，伊朗比以往任何时候都更有可能通过网络攻击作为一种非对称的替代方案进行报复。令人担忧的情况包括，伊朗国家黑客部署勒索软件或恶意数据擦除软件来破坏以色列的关键服务，或试图通过更隐蔽的间谍入侵窃取敏感的军事数据。

以色列和伊朗都充分意识到网络空间是这场战争的关键战场，如果战略需要，双方都准备发动更强大的数字化行动。

02

黑客行动主义的兴起

除了官方的国家行动之外，全球各地也涌现出一大批黑客组织，以应对以色列和伊朗之间的战争。许多黑客组织在意识形态上与任何一方结盟，他们不断破坏网站、瘫痪服务并泄露窃取的数据，以图在宣传中捞取好处。事实上，在战争爆发的第一个周末，就有近100个不同的黑客组织宣布加入这场网络冲突（来源：CyberKnow）。其中绝大多数（至少60多个）都亲伊朗，来自中东和亚洲各地，而伊朗在这些地区都有同情者。此外，还出现了一小群亲以色列的黑客组织，大约有十几个，但主导这场战争的主要是支持伊朗事业的势力。

自冲突开始以来，Radware观察到每天大约有30起针对以色列的DDoS攻击事件，其中6 月14日（星期六）的活动达到顶峰，当天共发生40起DDoS攻击事件。

图 3：黑客活动分子声称 6月4日至6月17日

针对以色列发动了DDoS攻击（来源：Radware）

图 4：6月13日至6月18日期间每小时针对以色列的DDoS攻击次数（来源：Radware）

自冲突爆发以来，Radware追踪到的所有黑客DDoS活动中，近40%都针对以色列。

图 5：6月13日至6月17日全球黑客活动

（来源：Radware）

此次针对以色列的攻击活动主要由两个组织领导，分别是“哈姆扎先生”（Mr Hamza）和“阿拉伯幽灵”（Arabian Ghosts）。以下是自冲突开始以来观察到的针对以色列资源发动 DDoS 攻击的黑客组织完整列表：

1、哈姆扎先生（Mr Hamza）

2、服务器杀手（Server Killers）

3、未知网络团队（Unknowns Cyber Team）

4、双网（TwoNet）

5、网络（TheNet）

6、开膛手安全（RipperSec）

7、匿名人士（Anonymous Guys）

8、神秘孟加拉团队（Mysterious Team Bangladesh）

9、网络法塔赫团队（Cyber Fattah team）

10、政变团队（Coup Team）

11、嘉鲁达错误系统（Garuda Error System）

12、俄罗斯造谣者（Desinformador ruso）

13、阿拉伯幽灵（Arabian Ghosts）

14、黑色卢尔兹安全（Lulzsec Black）

15、精英小队（Elite Squad）

16、摩洛哥黑色网络军（Moroccan Black Cyber Army）

17、救世主国度（Nation of Saviors）

18、锡尔赫特帮（Sylhet Gang）

19、Keymous+

20、红狼网络（Red wolf cyber）

21、无畏团队（Team Fearless）

22、鬼族（Ghost Clan）

23、疯狂资本（MadCap）

24、突尼斯面具网络部队（Tunisian Maskers Cyber Force）

图 6：6月13日至6月18日期间声称对以色列

发动DDoS攻击的组织（来源：Radware）

图 7：针对以色列的DDoS攻击热图

（按每天、按组织分类）（来源：Radware）

自冲突开始以来，以色列最常遭受黑客行动主义DDoS攻击的五大行业是：

1、政府和公共部门（约27%）

2、制造业（约20%）

3、电信（约12%）

4、媒体与互联网（约9%）

5、银行和金融服务（约5.3%）

图 8：6月13日至6月18日期间以色列

主要受到攻击的行业（来源：Radware）

03

全球影响：冲突中遭黑客攻击的国家

6月13日（星期五），黑客组织“哈姆扎先生”与“匿名人士”、“1722团队”和“俄罗斯造谣者”协调，宣布对美国、英国和以色列发起协同网络攻击活动。

图 9：“哈姆扎先生”宣布针对美国、英国和以色列的

#Op_Usa_Uk_Israel活动（来源：Telegram）

图 10：“哈姆扎先生”和“俄罗斯造谣者”在宣布

#Op_Usa_Uk_Israel后声称发动袭击（来源：Telegram）

6月17日（星期一）晚间，黑客行动组织“死亡网络”（DieNet）发出警告，称如果美国“加入对伊朗的战争”，他们将对美国发动网络攻击。该声明迅速被其关联组织或同情组织——包括“阿拉伯幽灵”（Arabian Ghosts）、“锡尔赫特帮”（Sylhet Gang）和“无畏团队”（Team Fearless）——所宣传，暗示着为应对事态发展，他们可能针对事态发展采取协调和升级行动。

图11：“死亡网络”向美国发出警告，由“阿拉伯幽灵”

“锡尔赫特帮”“无畏团队”转发（来源：Telegram）

鉴于“死亡网络”过去针对美国实体和基础设施发动网络攻击的记录，他们率先发起针对美国的行动也就不足为奇了。他们的历史表明，他们一贯以美国为目标，因此他们最新的威胁是先前敌对行动的延续，而非偏离。

以色列与伊朗冲突中最常成为攻击目标的国家包括：

• 美国：受到黑客组织“哈姆扎先生”“阿拉伯幽灵”“未知网络团队”“死亡网络”“精英小队”“摩洛哥黑色网络军”和“孟加拉国神秘团队”的攻击，这些组织在同一时期还针对了以色列

• 约旦：受到黑客组织“阿拉伯幽灵”“黑色卢尔兹安全”“摩洛哥黑色网络军”和“孟加拉神秘团队”的攻击，这些组织在同一时期还针对了以色列

• 英国：受到黑客组织“哈姆扎先生”“未知网络团队”和“双网”攻击，他们在同一时期也针对了以色列

黑客组织Keymous+和“神秘孟加拉国团队”主要将网络行动重点放在埃及，但这两个组织也声称对针对以色列组织的袭击负责。

图12：6月13日至6月17日期间黑客行动组织

所针对的国家热图（来源：Radware）

04

虚假信息和影响运动

社交媒体和通讯平台上正上演着一场平行的信息战，双方都试图控制叙事并影响公众舆论。空战爆发后几乎立即，伊朗及其盟友就在网上发起了大规模的宣传和欺骗活动。以色列官员将伊朗目前网络攻击的主要目标描述为针对以色列社会的“恐吓、虚假新闻和虚假信息”。观察到的具体策略包括：

• 虚假紧急警报：如前所述，伊朗特工向以色列人发送了大量欺诈性短信，旨在通过虚假的紧急公告（例如燃料短缺或即将发生恐怖袭击的虚假报告）来制造恐慌。这些短信被伪装成官方消息，伪装成以色列后方司令部。

• 社交媒体僵尸网络：Radware预计伊朗将利用其完善的虚假社交媒体账号和机器人网络来塑造人们对冲突的看法。伊朗的“网络军队”（通常由伊朗伊斯兰革命卫队的心理战部队运营）过去曾创建大量虚构的网络人物，并配有人工智能生成的头像，以推动协调一致的叙事。在此次危机中，观察人士发现亲伊朗的机器人账户会放大有关以色列所谓暴行的标签，并将伊朗的行动描绘成防御性的。这些虚假账户经常冒充普通公民（甚至是批评本国政府的以色列人），以使信息更具说服力。伊朗的影响力活动还招募了该地区同情伊朗的博主和媒体，以呼应伊朗的立场。

• 虚假图像和人工智能生成的媒体：一个令人担忧的趋势是与战争有关的篡改图像和深度造假视频的传播。分析人士指出，伊朗和以色列的官方频道都分享了误导性或虚假的战场事件视觉效果。例如，伊朗国家媒体播放了据称是巴勒斯坦平民伤亡的镜头，后来被认定为无关场景的蒙太奇。相反，一个以色列社交媒体账户发布了一张伊朗无人机被击落的图片，结果发现它来自一个更早的事件。伊朗的影响力机构已经展示了使用人工智能深度造假的先进能力。值得注意的是，伊朗黑客在2023年底劫持了阿联酋的流媒体电视服务，并播出了一则深度造假新闻，其中人工智能生成的主播散布伊朗关于加沙战争的宣传。该行动由与伊朗伊斯兰革命卫队有关联的名为“棉沙暴”（Cotton Sandstorm）的组织实施，表明伊朗有可能大规模部署深度造假。在当前的冲突中，专家们对类似的伪造音频或视频的使用保持高度警惕，例如以色列将军投降的虚假视频，或旨在煽动公众愤怒的屠杀镜头。此类合成媒体的传播速度比事实核查人员揭穿的速度还快，使其成为信息战中一种强有力的武器。

• 伊朗的国内控制与叙事：伊朗政权已加强对互联网的控制，并塑造战争叙事。过去一周，伊朗在全国范围内实施了互联网中断，官员们称这是在以色列持续发动网络攻击的情况下维护网络稳定的“临时”措施。随着这些限制措施的实施，互联网连接数据显示急剧下降。此外，据报道，伊朗当局限制访问外国新闻网站，甚至屏蔽了许多国际电话，以防止传播与官方媒体相悖的信息。信息封锁旨在阻止以色列针对伊朗公众的任何心理战企图。值得注意的是，伊朗国家电视台和官员大力宣传以色列及其西方盟友对伊朗基础设施发动了“大规模网络战”的叙事。这种说法试图将伊朗描绘成网络侵略的受害者，并为伊朗任何进一步的“报复性”网络行动辩护。在一个虚假信息案例中，伊朗国家电视台敦促公民卸载WhatsApp，指责这款流行的即时通讯应用为以色列从事间谍活动。WhatsApp坚决否认了这一说法，称这是一个毫无根据的借口，伊朗可能会利用这个借口禁止该应用程序并孤立民众。

这场战争中，网络虚假信息和影响力异常活跃。虚假叙述、篡改证据和战略性审查无所不在。这种“数字战争迷雾”使公众难以辨别真相，也凸显了现代冲突不仅依靠导弹，还依靠表情包和即时通讯应用。

05

总结

总而言之，第一周的敌对行动表明，以色列与伊朗的冲突在网络空间和地面上都愈演愈烈。尽管伊朗最危险的网络武器可能仍在储备中，但国家支持的网络攻击已经袭击了重要目标。一波波黑客活动（主要支持伊朗）正使以色列网络忙于抵御干扰和泄密。

一场类似的虚假信息战正试图影响全球人心，其背后是虚假人物和虚假媒体的推波助澜。展望未来，该地区乃至全球的组织都高度警惕，以防其蔓延。网络安全公司敦促各方保持高度警惕，并警告称，如果网络交火加剧，关键基础设施、供应链乃至全球企业都可能成为附带目标。2025年的以伊冲突是现代混合战争的一个鲜明例证，字节和叙事在战斗中的重要性丝毫不逊于炸弹和导弹。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。