近日美国伊利诺伊北区法院公开了一份更新版刑事起诉书,揭开了知名黑客组织 Scattered Spider 核心成员的抓捕全过程。

化名为 Bouquet 的 19 岁黑客本名 Peter Stokes,拥有美国与爱沙尼亚双国籍,今年 4 月他在芬兰转机前往日本时,依据国际刑警组织的通报被当地警方逮捕,目前正处于引渡候审阶段。
这份由 FBI 网络犯罪特工提交的宣誓书长达 35 页,完整记录了执法部门从攻击现场的零散数字痕迹出发,一步步锁定真实身份的全流程。整个溯源没有依赖特殊手段,完全靠设备指纹、IP 时空交叉、账号链路串联和行为特征匹配推进,堪称网络犯罪溯源的标准参考案例。
Scattered Spider 也被行业称作 Octo Tempest、UNC3944,是过去几年全球最活跃的网络犯罪团伙之一。他们的核心手法不是靠高端零日漏洞,而是精准的社会工程学攻击。攻击者通常冒充企业员工拨打 IT 帮助台电话,骗取账号密码和多因素认证权限,拿到管理员权限后横向渗透内网,窃取敏感数据再部署勒索软件,最后以泄露数据为要挟索要加密货币赎金。
根据 FBI 统计,这个团伙已经发起过超百起企业网络入侵,拿到的赎金总额超过 1 亿美元,给受害者造成的业务中断、应急处置损失更是难以估量。他们的目标覆盖零售、保险、关键基础设施等多个行业,受害者遍布美国各地。
省流看时间线如下

早在 2024 年 10 月,微软安全团队就曾向 FBI 提交线索,指出 Octo Tempest 组织内代号 Spencer 的成员真实身份很可能是居住在爱沙尼亚塔林的 Peter Stokes,且此人自 2022 年起就参与团伙活动。但情报需要证据落地,FBI 后续的技术溯源,就是把这份线索变成法庭认可的完整证据链的过程。
Peter Stokes 是这个团伙的核心成员之一,常用化名包括 Bouquet、Jordan、Spencer,案发前长期居住在爱沙尼亚塔林,也曾在阿联酋活动。
网络犯罪溯源最难的一步,是把虚拟的攻击行为和真实的人对应起来。本案里最关键的锚点,是一个叫做 Global Device ID (GDID) 的设备标识符。
简单来说,GDID 是 Windows 系统给每一次系统安装分配的全局唯一设备编号,只要不重装系统,这个编号就不会变,会跟着这台设备访问各类微软服务和第三方网站。它就像一台电脑的数字身份证,哪怕你换网络、换 IP、用 VPN,只要是同一台设备同一个系统,留下的 GDID 都是同一个。
第一步:从攻击现场拿到 GDID
2025 年 5 月 12 日到 15 日,Scattered Spider 对一家奢侈品零售商(起诉书中代称 Company F)发起了入侵。攻击者先是用两个 Google Voice 号码拨打 IT 帮助台,通过社会工程学重置了三名员工的账号密码,其中两人是 IT 管理员。拿到高权限账号后,他们在内网服务器上安装了隧道工具 ngrok,绕开企业边界防火墙建立持久化访问通道,后续又用 Teleport.sh 和 Amazon S3 外传了至少 77GB 的敏感数据,最后开出 800 万美元的勒索价码。
ngrok 是一款常用的内网穿透工具,每个账号对应唯一的认证令牌,攻击中使用的令牌直接关联到一个刚注册的 ngrok 账号。FBI 调取 ngrok 的注册记录发现,这个账号注册于攻击当天的 19:21 UTC,注册 IP 是 68.235.46.168,这是一个位于美国伊利诺伊州 Mount Prospect 的 VPN 代理节点。
更重要的是,注册这个 ngrok 账号的设备,留下了明确的 GDID:g:6755467234350028。同一天晚些时候,这台设备还通过同一个代理 IP 访问了受害公司的官方网站。
到这里,FBI 拿到了攻击者设备的 “身份证号”,但还不知道这台设备属于谁。接下来的一步,就是把这个 GDID 和真人身份绑定。
第二步:IP 时空交叉,把设备和真人对上号
FBI 的思路很直接:如果某台私人账号的登录 IP,和这个 GDID 设备的上网 IP,在不同时间、不同地点反复出现高度重合,那基本可以认定是同一个人在使用。
他们调取了这个 GDID 的历史上网 IP 记录,和已经初步锁定的 Stokes 的社交账号登录 IP 做比对,找到了多处精准的时空重合点。
爱沙尼亚本地 IP 重合
2024 年 6 月 4 日,GDID 设备使用位于爱沙尼亚塔林的 IP91.129.97.29 访问网络。就在同一天,同一个 IP 在 13:57 登录了 Stokes 的 Snapchat 账号,15:21 登录了他的 Facebook 账号,前后只差一个多小时。
Stokes 长期居住在塔林,这是第一个强关联信号。
纽约行程完全吻合
2024 年 11 月 18 日,GDID 设备使用纽约的 IP207.237.190.238 上网。同一天,这个 IP 分别登录了 Stokes 的 Apple 账号和 Snapchat 账号。
这不是巧合。美国国务院的出入境记录显示,Stokes 在 11 月 15 日到 18 日期间恰好在纽约。他的 Snapchat 账号发布的内容也印证了这段行程,照片里出现了纽约四季酒店、华尔道夫酒店的内景,还有 11 月 16 日纽约 UFC 赛事的现场画面。
更细节的佐证来自一家酒店。11 月 26 日,GDID 设备访问了纽约 Empire Hotel 的官方网站。而 Stokes 在 11 月 25 日通过 Snapchat 发布了一张酒店房间内景照,房间里的地毯、墙纸和家具款式,和 Empire Hotel 官网展示的双卧套房完全一致。
泰国曼谷行程对应
2025 年 2 月 2 日,GDID 设备使用泰国 IP110.170.208.226 访问网络。同一天,这个 IP 先后登录了 Stokes 的两个 Apple 账号和 Snapchat 账号。

对应的社交记录里,Stokes 在 1 月 31 日晒出了手持曼谷华尔道夫酒店水瓶的照片,2 月 1 日发布了自己在该酒店的打卡照。时间、地点、IP 三者完全吻合。

游戏账号的微小破绽
还有一个很有意思的细节。2025 年 1 月 8 日,GDID 设备用塔林本地 ISP 的 IP 登录了游戏 Growtopia 的官网,对应到一个育碧 Ubisoft 游戏账号。FBI 发现,就在前一天 1 月 7 日的 05:17,同一个 IP 登录了 Stokes 的 Apple 账号,两分钟后的 05:19,这个 IP 登录了同一个育碧账号。同一个 IP,两分钟内先后登录私人账号和游戏账号,设备又和攻击用的 GDID 完全对应,这种概率几乎可以忽略不计。
到这里,攻击用的设备 GDID,已经通过多地点、多时间、多账号的 IP 交叉验证,牢牢绑定在了 Peter Stokes 身上。
第三步:攻击工具账号全链路串联
光有设备关联还不够,FBI 进一步把攻击各个环节的账号全部串了起来,形成了完整的证据闭环。
攻击中用来打钓鱼电话的两个 Google Voice 号码,其中一个号码绑定的谷歌邮箱是mykccncn109@gmail.com。FBI 核实发现,这个邮箱同时也是 ngrok 账号的注册邮箱,还是数据外传工具 Teleport.sh 的注册邮箱。也就是说,钓鱼社工、内网隧道搭建、数据外传这三个攻击核心环节,用的是同一个邮箱注册的工具账号。而注册这些账号的设备 GDID,已经被证实属于 Stokes。
攻击服务器里的直接证据
除了从受害公司侧溯源,FBI 还查获了一台 Scattered Spider 团伙用来存储数据和运维攻击的虚拟服务器,起诉书中称其为 Subject Server 1。
这台服务器里的内容坐实了团伙的犯罪行为:里面存着十几家受害企业的外泄数据,仅其中一家美国保险公司就有超过 25 万份文件被盗,该公司估算自身损失在 1500 万到 2000 万美元之间。服务器里还部署了 Telegram 搜索机器人用来检索被盗数据,内置了带 Okta 和 Azure Authenticator 认证工具的虚拟安卓环境,还有勒索软件 DragonForce 的运维聊天记录。
怎么证明 Stokes 用过这台服务器
服务器的 RDP 远程桌面登录日志,记录了所有远程连接的来源 IP。FBI 把这些 IP 和 Stokes 的私人账号登录 IP 做比对,发现在 2025 年 5 月到 8 月期间,多次出现同一个 IP 在 24 小时内既登录他的 Snapchat、Apple 账号,又远程连接这台攻击服务器的情况。
还有一个非常直白的证据。
2025 年 12 月 2 日太平洋时间 12:48,对应阿联酋时间 12 月 3 日凌晨、爱沙尼亚时间 12 月 2 日深夜,服务器里的聊天记录出现了一句话:“今天是我生日,有个好消息,拿到的其中一个数据库里有汇到交易所的电汇交易数据”。而 Peter Stokes 的生日,正好是 12 月 3 日。结合他当时在阿联酋活动的信息,这条消息的发送者身份几乎没有争议。
社交账号里的侧面佐证
FBI 拿到搜查令调取了 Stokes 的 Snapchat、Facebook 和 Apple 账号,里面的内容进一步印证了他的身份。
他的社交账号里充满了和年龄不符的财富展示:17 到 18 岁期间就往返巴黎、意大利、西班牙、德国、纽约、泰国、迪拜等地,入住多家奢华酒店,晒出名表、大量现金,还有一条镶钻的项链,上面刻着 “HACK THE PLANET”,这是 1995 年经典黑客电影《黑客》里的名台词。


他和同伙的聊天内容也暴露了身份。聊天里出现了 Scattered Spider 其他成员的化名,其中一名美国本土的未成年同伙已经在芝加哥被起诉。他还发过爱沙尼亚警察局的照片,配文调侃自己像《黑名单》里主角自首的名场面,随后又补了一句 “联邦调查局根本不知道他们错过了什么”。

同伙还给他发过其他成员被追捕的视频,调侃对方用 VeraCrypt 加密了数据。


更早的 2023 年 3 月,一家通讯平台 Company H 遭遇入侵,内部聊天记录里就出现了化名 Bouquet 的参与者。当时他和同伙讨论怎么搜索内部支持工单、禁用用户账号,还提到 “我要去学校了”,那时他才 16 岁左右。后续这名同伙向 FBI 确认,Bouquet 就是 Peter Stokes 的化名。




很多人觉得网络犯罪是完全匿名的,换个 IP 用个 VPN 就能逍遥法外。但这个案件清晰地展示了执法部门的溯源逻辑:单次 IP 伪装没有意义,只要你用同一台设备、同一个身份处理私人事务和犯罪活动,就一定会留下交叉痕迹。
设备指纹、IP 时空轨迹、账号关联链、行为特征匹配,当这些维度的证据全部指向同一个人时,形成的证据链几乎无法推翻。截至目前,Scattered Spider 的多名核心成员已经陆续在全球各地落网。
总体把诉讼书看完,有一种放长线,钓大鱼的感觉,明明提前都锁定好人员了,还要拖这么久才下手。
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。