你看到的"独立黑客组织",可能只是同一批人换了个马甲。当3个名字完全不同的团伙用同一套工具、同一批服务器、同一套话术攻击不同国家时,背后藏着什么设计?

DomainTools的最新调查给出了答案:Homeland Justice、Karma/KarmaBelow80、Handala——这3个被长期视为独立"黑客行动主义"团体的身份,实为伊朗情报与安全部(MOIS)统一指挥的同一套作战系统。

打开网易新闻 查看精彩图片

一场持续4年的"人格分裂"表演

这场操作的起点是2022年。一个自称"Homeland Justice"的团体对阿尔巴尼亚政府发动攻击,手法在当时就显露出不寻常的组织度。

伊朗国家行为者在公开宣称负责前,已潜伏于阿尔巴尼亚政府系统约14个月。这段时间里,他们完成了敏感文件窃取、破坏性工具部署,并为后续公开行动储备了素材。

攻击公开后,该团体将技术入侵与高调的信息发布结合,把一次网络攻击转化为具有显著地缘政治影响的"影响力事件"。这不是临时起意的黑客行为,而是有剧本、有节奏、有预留空间的系统工程。

DomainTools分析师追踪发现,同一威胁行为者后续切换至"Karma"身份,再演变为"KarmaBelow80",于2023年底将目标转向以色列机构。

关键证据在于:底层工具、基础设施、攻击方法在这些"rebranded campaigns"(品牌重塑行动)中保持完全一致。共享的域名模式、统一使用Telegram作为命令与控制通信渠道、重复出现的技术行为特征——这些线索让DomainTools以高置信度评估,所有表面独立的团体实为MOIS直接指挥的连通系统。

2024年至2026年,该行动以"Handala"名义继续演进。这一身份借用知名巴勒斯坦卡通人物命名,重心转向信息作战,包括精心策划的数据泄露、针对记者与异见人士的定向骚扰,以及与以色列有关联的个人。

2026年3月,美国司法部宣布查封4个关联域名:Handala-Hack.to、Karmabelow80.org、Justicehomeland.org、Handala-Redwanted.to。这些域名被用于发布窃取数据、宣称攻击责任,以及对特定具名个人煽动暴力。

正方:多身份策略是精妙的运营设计

从战术层面看,MOIS的这套"人格分裂"架构具备多重功能优势。

第一,风险隔离。单一身份暴露不会导致整个网络崩溃。Homeland Justice在阿尔巴尼亚行动后高调现身,必然引发追踪;此时切换至Karma身份,可让新目标以色列机构从零开始建立防御认知,而攻击者已携带成熟工具链和作战经验入场。

第二,叙事适配。不同身份承载不同地缘政治符号。Homeland Justice的命名指向阿尔巴尼亚国内政治语境;Karma/KarmaBelow80带有技术黑客亚文化色彩;Handala则直接嵌入巴勒斯坦抵抗叙事。这种符号灵活性让同一套行动系统能够精准对接不同地区的舆论土壤。

第三,能力伪装。将国家行为拆解为多个"独立黑客团体",可降低目标的防御等级。面对疑似国家级对手,政府和企业会启动最高响应机制;面对"黑客行动主义者",处置优先级和资源配置可能下调——这正是MOIS利用的认知缝隙。

第四,持续压力。多身份轮换创造了"打不完"的感知效果。即使某个身份被制裁、被查封域名,新身份可立即承接其功能,维持对目标群体的持续信息环境操控。

安全研究人员将该整体威胁行为者追踪为"Void Manticore",DomainTools报告中也以"MOIST GRASSHOPPER"指代。这一命名体系本身即说明:分析社区已识别其统一性,但公开叙事中长期被迫以分散身份讨论。

反方:多身份是资源冗余,暴露反而加速溯源

另一种视角认为,这种多身份架构存在结构性缺陷,MOIS可能低估了现代威胁情报的关联分析能力。

域名基础设施的重复使用是明显破绽。美国司法部一次行动即可同时查封4个关联域名,说明这些身份在底层资产上高度纠缠。对于具备全域视野的情报机构而言,多身份非但未增加追踪难度,反而提供了更多关联节点——每个身份都是进入整个网络的潜在入口。

技术行为的一致性构成了"指纹效应"。攻击者更换名称却无法更换其编码习惯、工具偏好、通信协议选择,这些深层行为模式比表面身份更难伪装。DomainTools正是凭借这些"不变量"完成了跨身份关联。

叙事逻辑的内在张力同样可被利用。当Handala声称代表巴勒斯坦抵抗力量时,其攻击目标与时机却与伊朗国家利益高度同步——这种"巧合"本身即成为归因线索。多身份策略要求每个身份维持独立的叙事一致性,这在长期运营中成本极高,且任何叙事漂移都可能暴露指挥链的单一来源。

更根本的矛盾在于:多身份设计的优势依赖于目标的"分散认知",即不同受害者各自面对不同身份、无法共享威胁情报。但在2026年的全球安全生态中,这种信息孤岛已被打破。阿尔巴尼亚、以色列、美国的情报机构与私营安全公司形成协作网络,使得MOIS的多身份架构反而成为"多点触网"的脆弱性来源。

深层追问:国家黑客的"身份经济学"

这场案例揭示了一个被低估的维度:网络空间中的"身份"已成为可消耗、可迭代的作战资源。

传统军事情报强调隐蔽与持久,但MOIS的模式展示了另一种逻辑——主动制造可见的"黑客身份",将其作为信息战的传播节点。Homeland Justice、Karma、Handala不仅是攻击工具,更是内容品牌;其Telegram频道、泄露网站、公开声明构成了一套平行于暗网技术基础设施的"明网影响力基础设施"。

这种"身份即弹药"的思维,模糊了网络攻击与政治宣传的传统边界。当美国司法部查封4个域名时,其打击目标不仅是技术节点,更是信息发布的渠道资产。MOIS的应对策略也印证了这一点:域名可换、身份可换,但"制造影响力事件"的核心任务不变。

对于防御方而言,挑战在于重新校准归因标准。当多个"独立团体"共享工具、基础设施、甚至部分人员时,区分"同一行动者的不同身份"与"不同行动者的协作网络"变得极为困难。DomainTools的高置信度评估依赖于长期追踪与多维度关联,但这种分析能力并非所有防御者都具备。

更值得观察的是国际反应模式。阿尔巴尼亚在2022年攻击后于2023年9月与伊朗断绝外交关系;美国财政部于2023年9月对MOIS及相关人员实施制裁;2026年3月的司法部行动则进入司法执法层面。这种从外交到金融再到法律的升级路径,反映了国家支持网络攻击归因后的标准应对剧本,但其威慑效果仍待检验——MOIS的Handala身份在域名查封后仍在运营。

最终,这个案例提出的核心问题是:当1个国家部门可以低成本生成无限数量的"黑客身份"时,基于"团体归因"的防御策略是否正在失效?答案或许在于,防御者需要将分析单元从"身份"下沉至更底层的技术行为模式与基础设施关联——这正是DomainTools此次调查的方法论价值所在。