将镇压行动作为“项目”外包给私人公司,即便宜又便于推卸责任;这些小公司主动开发了成套的“钓鱼工具包”、“推特监控系统”和“地理位置追踪插件”,像售卖商业软件一样卖给地方公安局和国安部门 …对于可能受影响群体,请务必关注本文嵌入标识框中的相关攻击解析和防御建议。🧬 源:iYouPort - Initiatives & Tactics 整体攻防训练营 · 反渗透和协作 / 技术哲学和技术直觉《中国跨境数字镇压的工业化和私营承包商演变:公民实验室最新报告“Tall Tales”》“数字跨国镇压” 指的是:国家行为体利用数字技术,将其控制与压制行为延伸至境外,对流亡者、异见者、记者、及少数群体进行针对性的监控、骚扰或威慑。其关键特征包括:跨境性:突破主权边界;数字化:依赖互联网和信息系统;日常化:成为“常态统治工具”;隐蔽性:较少直接的暴力,更依赖心理操纵和信息操控以实现影响。与传统的跨国镇压手段(暗杀、绑架)相比,“数字跨国镇压” 成本更低、更难归责、更容易规模化。我们此前解读过一本小册子,其中包含对此等操作手段及其有效性原理的详细描述:宣传、审讯、渗透、操纵、诱导、伪装 ……关于欺骗和诡计您应该知道的一切感恩相遇!iYouPort - Initiatives & Tactics 项目二期工程正在进行中,这是一份中文界前所未有的综合训练资源 …… 您可以通过留下您的联系方式以便第一时间获得更新信息。一、概述和核心背景1.1 基本信息发布机构:多伦多大学蒙克全球事务与公共政策学院公民实验室。发布日期:2026年4月27日。核心议题:揭露与中国政府相关联的行为体如何利用“伪装身份”和“叙事劫持”手段,对海外异见人士、少数群体及国际媒体,进行数字跨境镇压(DTR)。合作方:国际调查记者同盟(ICIJ)。1.2 什么是数字跨境镇压(DTR)?跨境镇压是指国家力量跨越国界,通过物理或数字手段,追踪、骚扰、恐吓和控制海外公民或批评者。数字跨境镇压(DTR)则特指利用恶意软件、钓鱼攻击、社交媒体骚扰、和账户劫持等技术手段,实现的压制行为。什么是伪装,如何伪装,如何识破 — — 社交工程攻防基础心里有数:如果您已成为目标:来自内部和外部的威胁和抵御直面你的对手  -  6大原则:完美隐身S04E011.3 宏观政治环境:“五毒”与总体“国家安全”观报告指出,自2012年以来,中国政府在“总体国家安全观”的指导下,加强了对所谓“五毒”(维吾尔人、藏人、法轮功、台湾独立支持者、民主活动人士)的打击。随着习近平主席推动“军民融合”战略,这种镇压行为已从政府部门直接执行转变为“国家资助、私营承包商实施”的高度工业化模式。1.4 核心研究问题该报告聚焦一个此前研究较少但高度关键的维度:揭露与中国政府相关联的行为体如何利用“身份冒充”和“叙事劫持”手段,对海外异见人士、少数群体及国际媒体,进行数字跨境镇压(DTR)。换言,重点不再是技术入侵(如间谍软件等),而是:信息操控 -信息战;认知战 - 诱导和欺诈;身份伪装 - 社交工程;舆论污染 - 掺水裹乱。这是数字威权治理进入“社交工程+叙事操控”阶段的重要标志。胁迫之术:传播学是如何变成武器的二、核心机制:伪装身份和叙事劫持2.1 “伪装身份”定义攻击者伪装成有公信力的身份主体,比如:记者学者NGO同行活动人士主流媒体机构其目标是:获取信任引导互动实施进一步的攻击(信息收集、钓鱼、操控)运作方式报告揭示了几种典型的模式:(1)伪造媒体或官方新闻来源攻击者复制真实媒体页面或内容,使目标误以为来自可信新闻机构。这种策略此前曾在针对华语媒体的攻击中出现,例如仿冒新闻站点进行钓鱼。(2)冒充社区内部成员比如:假装成同一运动的参与者假装成志愿者或者组织者这种方式利用“共同身份”降低防备。(3)冒充受害者本人创建假身份账号:复制姓名、头像模仿发言风格用于混淆信息环境或制造冲突。2.2 “叙事劫持”定义攻击者挪用目标群体自身的话语、议题或价值观,进行再包装和操控。《反渗透/线人&减轻背叛的损失 - 总章节:止损于未病 》这比一般意义上的虚假信息更复杂:不是“编造假信息”,而是“操控真实叙事”。主要表现形式(1)复制真实议题例如:人权议题民族压迫叙事政治抗议话语但加入隐性的操控内容。(2)语境扭曲将真实信息:断章取义重新排序重新解释从而改变其政治含义。(3)制造“内部冲突”通过伪装为群体成员:引导争议激化矛盾破坏信任卧底警察识别手册2025版2.3 冒充 + 叙事劫持的组合效应报告强调,这两种策略往往结合使用:用身份伪装提供“入口”,叙事劫持实现“操控”。形成完整的攻击链:建立虚假的且看起来很可信的身份渗透进入目标网络引入或操控叙事扰乱认知、扰乱目标群体的关系结构三、攻击目标和对象结构3.1 主要目标群体报告指出,这类行动主要针对:海外异见人士民主活动人士维吾尔人、藏人等少数群体香港政治活动者独立媒体工作者和记者这些群体长期处于跨国镇压的重点范围。3.2 攻击目标的选择逻辑攻击并非随机,而是具有明确策略。(1)高影响力节点如:意见领袖组织者媒体从业者目标:扩大信息影响面。(2)网络中介节点如:社群管理员NGO工作人员目标:渗透整个网络。这就是为什么担保措施至关重要。尤其是对担保人的担保!“我的”朋友还是“我们”的朋友?:如何执行担保措施(3)弱防御个体如:新加入的成员(这就是为什么入门安全培训至关重要)技术安全意识较弱者(同上)目标:作为突破口。返回镇压手段-渗透者返回镇压手段- 告密者(线人)反渗透/线人&减轻背叛的损失 - 总章节:止损于未病了解诱捕战略:如果政府间谍要求你做线人怎么办?如何判断一个人是否可能是线人?针对反抗运动的政治渗透:政府线人如何操作四、技术与策略维度4.1 社交工程学的核心地位报告强调:本类攻击的核心不是技术漏洞,而是“人”的漏洞。关键技术包括:钓鱼攻击虚假账号网络内容操控身份伪装移除你的绵羊墙:给普通人的5个防御课程什么是伪装,如何伪装,如何识破 — — 社交工程攻防基础袜子木偶 - 分身创建的小技巧宣传、审讯、渗透、操纵、诱导、伪装 ……关于欺骗和诡计您应该知道的一切如何让一个人心甘情愿吐露重要信息? — — 社交工程攻击“诱导的艺术”4.2 与传统网络攻击的区别报告认为此类攻击的未来趋势包括:自动化生成内容深度造假 大规模舆论操控 AI正在放大这些能力。五、影响机制:心理、社会和政治层面5.1 心理影响受害者常出现:不信任感被监视焦虑自我审查这被称为寒蝉效应。5.2 社群层面影响攻击导致:社群分裂内讧冲突组织瘫痪这是叙事劫持的核心目标之一。5.3 对家庭施压一个关键机制是:对境内的家属施压。这也是一贯做法。例如:威胁目标人的家人经济处罚,等等以迫使海外人士沉默。5.4 政治影响长期影响包括:削弱跨国倡议能力降低国际舆论影响破坏人权网络六、两大攻击行为体深度剖析公民实验室通过长期的网络基础设施监测,识别出两个独立的攻击组织:GLITTER CARP 和 SEQUIN CARP。6.1 GLITTER CARP:规模化的“初始准入者”A. 行为特征与目标GLITTER CARP 自2025年4月起活跃,其特点是“广撒网、重冒充”。目标群体:涵盖几乎所有中国政府关注的敏感群体,包括维吾尔活动人士、西藏流亡组织、台湾媒体以及香港民运人士。核心职能:公民实验室评估该组织在攻击链中扮演“初始准入者”(Initial Access Provider)的角色。他们的任务是窃取账号密码,随后将这些权限移交给其他负责深度监控或数据窃取的部门。B. 攻击技术细节:身份伪装的艺术高可信度冒充:他们会冒充目标群体内部受尊敬的人物。例如,在针对维吾尔人的攻击中,攻击者冒充一名著名的维吾尔导演,通过社交媒体建立联系。钓鱼基础设施:该组织注册了上百个模仿合法机构(如独立电影发行商、科技媒体)的域名。虚假安全警报:如果初次钓鱼未成功,他们会立即发送伪造的“Google账号异常登录”提醒,诱导用户在惊慌中重置密码,从而进入虚假的登录页面。战术重复性:研究人员发现,尽管目标不同,但该组织频繁复用同一套服务器架构和钓鱼模板,这种“标准化作业”体现了其工业化生产的特点。6.2 SEQUIN CARP:精准的“社交工程操盘手”A. 行为特征和目标SEQUIN CARP 的攻击更具针对性和耐心,主要针对报道中国跨境镇压议题的高级记者。典型案例:对 ICIJ 记者 Scilla Alecci 的长期渗透。B. 核心战术:叙事劫持和 OAuth 滥用劫持真实叙事:该组织最危险的地方在于,他们会窃取真实的、敏感的对话内容,并以此作为背景来构建虚假身份。例如,他们会冒充一个“持有政府内部绝密文件的举报人”,利用记者对独家新闻的渴求诱导其上钩。OAuth 令牌攻击:原理:攻击者不直接索要密码,而是诱导记者点击一个链接,授权一个所谓的“第三方安全协作工具”。危害:这种授权一旦产生,攻击者就获得了该账号的 OAuth 令牌。这意味着即便记者开启了双因素身份验证(2FA),甚至修改了密码,攻击者依然可以长期、静默地访问记者的邮件、联系人和网盘文件。职业化沟通:SEQUIN CARP 的成员表现出极高的专业素质,能流利地使用行业术语与记者进行长达数周的“预热”沟通,降低其防备心理。七、跨境镇压的“工业化”和私营承包商生态报告深入探讨了中国网络攻击力量的结构性转变 —— 从“爱国黑客”到“商业黑客公司”。7.1 军民融合战略下的激励机制2017年后,中国正式确立“军民融合”为国家战略。这不仅涉及硬件制造,更包括网络空间能力。私营网络安全公司(如安洵 I-Soon、成都404等)通过竞争政府合同,获得了合法的攻击授权。7.2 低成本和高效率的“黑客超市”根据2024年泄露的安洵(I-Soon)内部文件,报告解析了这种生态的恐怖之处:按件计价:窃取特定东南亚国家部门的数据只需数万美元。对于中国政府而言,这种外包模式极其廉价且高效。软件化和产品化:这些公司开发了成套的“钓鱼工具包”、“推特监控系统”和“地理位置追踪插件”,并像售卖商业软件一样卖给地方公安局和国安部门。可否认性:使用私营公司作为代理人,使得中国政府在面对国际外交指控时,可以推诿为“民间行为”或“纯粹的商业犯罪”。八、攻击行为对社会的毁灭性影响报告不仅仅关注技术,更关注这些攻击对“人”的伤害。8.1 破坏社区信任攻击者冒充社区领袖(如著名的导演、活动家)的手段,在海外离散群体中播下了怀疑的种子。当成员们分不清谁是真正的同伴,谁是政府的代理人时,整个群体的凝聚力会迅速瓦解。8.2 寒蝉效应和自我审查长期的数字骚扰和潜在的家庭威胁,导致许多活动人士和学生选择噤声。这种“隐形监禁”成功地将一个国家的审查标准延伸到了全球。8.3 对新闻自由的侵蚀通过对 ICIJ 等机构的针对性打击,中国政府试图建立一种“恐惧威慑”:任何试图揭露政府内幕的记者,都将面临无孔不入的数字监控。这直接威胁到全球媒体对敏感议题的调查深度。8.4 数字威权主义的新阶段从“监控”到“操控”传统数字威权:监控审查新阶段:操控认知与社会关系。从“信息控制”到“叙事战争”这标志着:信息战 → 叙事战宣传 → 渗透从“国家行为”到“生态系统”权力不再集中:国家企业网络群体形成了复合系统。8.5 揭开跨国镇压体系该报告是对中国跨国镇压模式的重要补充。已有研究表明:中国是跨国镇压最活跃的国家之一手段包括监控、骚扰、信息操控等本报告的贡献在于:揭示其“信息与叙事层面的操作机制”九、防御建议和政策应对公民实验室在报告最后提出了针对性的防御策略。9.1 针对高风险个人的建议物理安全密钥(Security Keys):如 YubiKey。它是目前抵御 GLITTER CARP 类凭据钓鱼最有效的工具,因为即便攻击者拿到了密码,也无法物理接触到密钥。严格审查第三方授权:定期检查 Google 或 Outlook 账号中的“已授权应用”,撤销任何不熟悉的或长期未使用的 OAuth 权限。带外验证(Out-of-band Verification):收到来自“熟人”的敏感请求时,通过第二种通讯渠道(如见面、语音通话等)核实对方身份。9.2 针对技术平台的建议主动识别恶意基础设施:科技巨头应共享威胁情报,封禁那些跨平台复用的钓鱼域名。增强 OAuth 透明度:当应用请求高级别权限(如读取邮件)时,系统应向用户发出更明确、更严厉的警告。9.3 针对政府的政策建议法律制裁:西方国家政府应对参与跨境镇压的私营公司及其高管实施定向制裁。外交压力:将数字跨境镇压纳入双边外交议程,明确此类行为违反国际法和主权原则。十:综合评估和局限性10.1 报告的核心贡献提出“叙事劫持”这一关键概念。将跨国镇压从“技术问题”转为“社会问题”。揭示攻击的结构性与系统性。10.2 方法论价值结合技术分析与社会科学强调受害者经验构建攻击模型10.3 局限性(1)归因困难难以明确:国家行为体 还是 民间行为(2)样本偏差主要集中于:特定群体(如维吾尔、藏人等)(3)技术细节有限更偏重社会机制,而非技术细节。最后:一种“软性压制”的全球扩展该报告揭示的不是单一攻击手段,而是一种新的权力模式:通过身份伪装与叙事劫持,实现跨境社会控制。其核心特征:去中心化低可见性高心理影响易于规模化最终目标并非直接消灭反对者,而是:让他们失去发声能力和组织能力。这标志着数字威权主义进入了一个更隐蔽、更复杂、也更难以应对的阶段。🏴