从芬兰赫尔辛基机场的安检口被拦下时,19岁的彼得·斯托克斯行李箱里塞着两个2TB的硬盘,正准备搭上飞往日本的航班。芬兰警方的这次拦截,直接把他从一场越洋逃亡中拖了出来——四个月后,他坐在芝加哥联邦法院的被告席上,面对的是美国司法部列出的共谋、计算机入侵和电信欺诈指控。这是“分散蜘蛛”(Scattered Spider)这个松散黑客团伙又一次被放上法律天平的场景,也是美国调查人员将聊天室里的代号一个个变成真实姓名的最新动作。

7月1日,美国司法部对外公布了斯托克斯的引渡消息。这名拥有美国和爱沙尼亚双重国籍的年轻人,早在今年4月就因国际刑警组织的红色通缉令在芬兰被捕,6月底完成了向美国的移交。根据法庭记录,他的马甲是“Bouquet”,至少被追溯到四次独立的网络入侵,而最早的一次发生时才16岁。检察官描述的一桩典型案件发生在2025年5月:斯托克斯与同伙闯入一家奢侈珠宝零售商的系统,复制数据,然后开口就是大约800万美元的加密货币赎金。那家零售商没有服软,而是直接将攻击者踢出系统,并为此付出了至少200万美元的清理和补救成本。

打开网易新闻 查看精彩图片

这些数字勾勒出一个令安全行业头疼的模式——不是通过某个高深的零日漏洞,而是拿起电话直接骗过IT客服。分散蜘蛛的核心手段就是这么简单又难以根绝:成员冒充被锁在账号外的员工,说服服务台重置密码或批准登录。一旦潜入,他们就肆意窃取文件,然后以曝光数据为要挟索要赎金。正是因为这套手法不挑技术栈,这个团伙才能横跨一个又一个行业。

时间线还要往回拉。2023年,分散蜘蛛用社会工程攻击让MGM度假村和凯撒娱乐的系统大面积瘫痪,赌场和酒店业务被迫中断,也让它从此进入公众视野。此后,安全研究员眼中看到的是一种“行业巡猎”式的推进节奏:2025年接连盯上英国零售巨头——玛莎百货、哈罗德百货、Co-op集团,随后转向美国保险公司,再后来又把航司拖进攻击范围。助理总检察长A·泰森·杜瓦给出的官方统计是,该团伙已经涉及“超过100起网络入侵,造成的赎金支付超过1亿美元”。

斯托克斯的引渡并不是孤例,而是警方把网口收紧的一个切片。就在不久前的2026年4月,曾被视为分散蜘蛛核心人物的24岁苏格兰人泰勒·布坎南在美国法庭上认罪,承认通过面向Twilio、LastPass等公司的钓鱼攻击窃取了至少800万美元加密货币,面临法定最高22年的监禁。再往前一点,2025年8月,佛罗里达州成员诺亚·厄本被判入狱10年,并被勒令偿还约1300万美元。法庭卷宗里还出现了塔尔哈·朱拜尔和欧文·弗劳尔的名字,虽然相关细节尚未被全部披露,但这些零散的姓名拼出了同一个走向:那个曾经只在聊天室里靠马甲活动的群体,正在被逐一贴上国籍、真实身份和开庭日期。

即使斯托克斯的硬盘中存下了多少数据仍有待披露,两个2TB的物理证据本身就已经把他的故事从虚拟世界硬生生拉回了现实。从赫尔辛基到芝加哥,从“Bouquet”到彼得·斯托克斯,这条引渡通道不只是一个人的跌落,更像是给那群以为可以永远躲在网线背后的年轻人画下了一道清晰的分隔线。