中共被曝数字跨国镇压：假冒身份和窃取叙事

“公民实验室”（Citizen Lab）和“国际调查记者联盟”（ICIJ）近日发布报告，揭露了中共行为者如何利用“假冒身份”与“窃取叙事”的手段，对海外异议人士实施精准的数字跨国镇压。

中共数字跨国镇压

“公民实验室”与“国际调查记者联盟”合作，就针对海外藏族、维族、台湾人和支持民主的海外华人，以及报道相关议题的国际记者发起定向网络攻击的两个组织进行跟踪，曝光了中共实施的数字跨国镇压（Digital Transnational Repression）手段以及中共的数字跨国镇压公私融合模式。

报告揭示，自2025年4月以来，研究人员观察到一场大规模的网络钓鱼邮件和数字身份冒用攻击活动，目标包括海外维族、藏族、台湾和香港侨民活动人士，以及报道相关议题的记者。

报告曝光的两个组织中，一个叫GLITTER CARP，其网络钓鱼攻击活动范围广泛且持续不断，有时甚至会选择与目标群体仅有间接联系的个人作为攻击目标。

另一个叫SEQUIN CARP，专门针对报道中共的数字跨国镇压等相关议题的记者，尤其是一些参与“国际调查记者联盟”《中共目标》调查的记者。

报告指出，二十多年来，中共一直是数字跨国镇压的惯犯。为针对海外侨民和异己，中共当局伙同与其利益一致的威胁行为者感染受害人计算机系统，部署间谍软件入侵智能手机，并在常用应用程序中植入恶意代码。

研究人员发现，GLITTER CARP网络广泛攻击海外维族、藏人、台湾社区和香港社区，以及揭露中共跨国镇压的记者；还发现冒充法轮功媒体大纪元的两个域名epochtimes.entryfortify[.]com和epochtimes0[.]org，表明可能存在针对法轮功的攻击。

分析揭示了一个在各种攻击活动中部署的庞大IP地址和域名网络，研究人员根据其规模和范围，以及在针对公民社会团体的行动中未曾发现的一百多个域名，认定除报告发现的攻击外还存在其它攻击。

研究发现，黑客最终目标似乎是窃取访问个人电子邮件账户所需凭证，大多数被攻击的账户是谷歌账户，微软365账户也成为攻击目标。用户点击链接时（通常是通过电子邮件或Signal、Line等聊天应用程序发送的链接），会被重定向到一个几乎能以假乱真的谷歌登录页面，目的是诱骗用户输入电子邮件地址和密码。

研究人员发现，特定组织同时受到攻击时，攻击者既使用AiTM网络钓鱼工具包（GLITTER CARP、UNK SparkyCarp），又通过另一个组织（UNK_DropPitch）使用不同的网络钓鱼HealthKick，表明很可能是技术能力不同的组织之间存在某种协同攻击。

私企成中共数字跨国镇压打手

报告指出，中共党魁习近平2012年上台后，一边加大对国内异己人士镇压，一边扩大海外镇压目标范围，其中一个关键跨国镇压手段是利用网络进行数字打压。

报告揭示，自2000年代后期以来，中共一直对海外流亡政治活动人士和组织大搞海外监控，监控手段包括：部署恶意软件秘密监视海外藏人机构使用的数字设备；通过社交媒体直接威胁记录中共侵犯人权行为的作家和活动人士；利用网络平台加大恐吓海外华人或港人政治候选人，等等。

报告揭示，1990年代，中共网络行动中纳入“爱国”黑客社群，后来中共将个人黑客整合到军队和国安等国家机构中，到2010年代末发展出一种更加制度化产业化的公私合营模式。2017年，习近平将军民融合提升为正式的国家战略，要求私营企业必须与中共当局合作。

报告指出，近期大量证据表明，这一生态系统已演变为高度工业化和市场驱动的生态系统。被欧美制裁的中国承包公司“安洵”（I-Soon）的泄露文件揭示了这样一个系统：私营承包商开发间谍软件、钓鱼工具包和硬件植入等攻击性网络工具，然后卖给中共国安部、中共军方和地方公安局。

报告称，这些和后续泄露的文件表明，中国许多家公司为中共当局提供从侦察、社交媒体监控到长期渗透活动等各种服务，充当中共国家网络能力的延伸，但价格低廉，如安洵公司为中共收集越南经济部的数据价格约5.5万美元，为中共访问越南交警网站的价格仅1.5万美元。

报告指出，大量海外法律诉讼案件，进一步证实中共这一特有的公私合营黑客组织生态系统。2020年9月16日美国当局公布一份起诉书，指控成都404网络技术有限公司相关黑客，受中共指使入侵全球100多名受害人的网络。去年3月，美国司法部起诉12名受中共国安和公安部指使的中国人，在全球范围内压制言论自由和异议，其中有些个人黑客入侵后，将窃取的数据卖给中共当局。

报告警告，中共数字跨国镇压的外包产业化和工业化，催生了一个以利润为导向的竞争市场，降低中共跨国镇压成本和行动门槛，使得中共能以更低成本扩大跨国镇压规模，再加上自动化骚扰和人工智能辅助的定向攻击，增加了中共跨国镇压行动的数量和复杂性。中共将镇压能力外包，能轻松推卸责任，从而加剧归因和问责难度。

报告还警告，这些直接威胁和恐吓，加大受害人甚至更广大的群体的自我审查、恐惧和不信任，许多人担心参加海外维权活动会招致中共报复。

攻击ICIJ记者搞“寒蝉效应”

2025年4月，“国际调查记者联盟”（ICIJ）发布了历时十个多月的调查结果—《中共目标》，揭露中共如何进行跨国镇压，恐吓、影响和控制流亡海外及侨民社区中的政府批评者、活动人士和异见人士。调查汇集了30多个国家的100多名记者的报道和采访，揭露了中共使用的各种手段，包括跟踪和人身监视、恐吓家人、利用国际刑警组织等国际机制，以及网络入侵和监控等。

报告发表后不久，ICIJ记者受到一系列中共相关的网络攻击，一大批假冒ICIJ记者开始接触记者、台湾官员和人权活动人士，试图获取敏感数据。

这意味着，中共跨国镇压目标不再只局限于通常的受迫害侨民群体，有志于提高透明度和问责制的良心记者也成中共打击目标。

“公民实验室”研究员迪克斯（Emile Dirks）表示，即使攻击失败，也会产生“寒蝉效应”，让人们感觉和担心时刻被中共监视和监控。

个人和组织如何免受数字跨国镇压

报告建议，为应对不断演变的威胁形势，保护弱势群体免受数字跨国镇压，各方需采取协调一致的行动。侨民组织，应持续报告安全事件，建立互助支持系统，同时获取数字安全支持和快速响应网络。私营部门在内的民间社会和数字安全从业人员，应调查并记录网络攻击，在各社群间共享威胁情报。

流亡者和侨民群体所在国政府，应为数字安全提供资金和资源，同时利用外交压力、定向制裁和刑事诉讼等手段，提高犯罪者（包括为这些行动提供支持的私人承包商）的成本。民主国家政府也需加强国家网络安全机构之间的协调，以发现并提高公众对公民社会面临的新兴威胁的认识。

报告建议，个人采取的安全保护措施有：启用双因素身份验证（2FA）；使用高级2FA方法，例如安全密钥或Google Passkey（适用于Gmail用户）；加入高风险用户计划，获取包高级别的安全保障；禁用远程内容。

报告还建议，收到可疑邮件时，首先检查发件人的电子邮件地址，然后与发件人核实。系统提示输入凭证时，立即停止操作；输入用户名或密码之前，仔细检查浏览器中的URL，检查是否存在细微的拼写错误或意外的域名或子域名。

如果在疑似钓鱼网站输入了凭证，立即使用可信设备更改密码，启用双因素身份验证，通知组织或可信的技术联系人，以便评估此次安全漏洞并警告所在社区其他成员，保护所有人免受后续潜在攻击。