亲俄黑客组织升级2025网络攻势：瞄准西方关键基础设施与工控系统

2025年的网络犯罪格局因俄乌战争引发的地缘政治动荡发生剧变。Intel 471最新报告详细披露，亲俄黑客组织持续对乌克兰、北约盟国及西方关键基础设施发动数字攻击——往往通过DDoS攻击、网站篡改和数据泄露等手段直接回应政治事件。

报告指出："2022年爆发的俄乌战争对网络犯罪格局产生了深远持久的影响，导致旨在干预冲突的黑客活动激增。"

政治紧张局势催化网络攻击

2025年多数黑客活动源于政治紧张局势升级，特别是美国特朗普政府对乌克兰支持态度的摇摆，以及欧洲军事援助的加码。作为回应，亲俄组织强化了网络攻势。

典型案例发生在2025年5月，立陶宛外长凯斯图蒂斯·布德里斯批评俄罗斯拖延战术并呼吁加强制裁后，七支亲俄组织随即发起#Op立陶宛行动，包括：

Dark Storm TeamMr HamzaNoName057(16)（又名NNM057(16)）Russian BearsServerKillersZ-PENTEST ALLIANCE

Intel 471证实："ServerKillers组织瞄准立陶宛金融领域，Dark Storm Team则攻击政府机构。"

新生代黑客组织崛起

随着曾主导黑客活动的KillNet组织式微（其创始人KillMilk转向牟利性犯罪），NoName057(16)已成为头号亲俄黑客组织。该组织惯用近期军事行动、政治表态或援助声明作为攻击由头，以此吸引关注并招募同盟。

值得注意的是，NoName057(16)运营着基于Go语言开发的众包DDoS平台DDoSia，参与者通过攻击活动赚取加密货币奖励，系统通过唯一client_id追踪贡献。

2025年3月新成立的"俄罗斯IT军"采用数据窃取、DDoS攻击和内应招募组合拳打击乌克兰数字基础设施。该组织通过Telegram频道t.me/itarmyofrussianews以"招募英才报效祖国"为口号扩张势力，使用地下论坛流通的PanicBotnet等DDoS工具，并开发t.me/itarmyrussia_bot机器人收集情报、选定目标。

另一新兴组织TwoNet专注于攻击西班牙、乌克兰和英国的航空、政府及科技媒体电信领域，其使用的MegaMedusa Machine工具由RipperSec开发并在GitHub开源。Telegram记录显示其与BLOCKWEB、КиберVойска等组织存在协作。

工控系统面临现实威胁

尽管多数攻击仍停留在DDoS等基础层面，但Intel 471警告称，针对工业控制系统（ICS）的冒险行动正在增加。令人不安的案例是Z-Pentest组织宣称攻破美国阿肯色州水处理设施，迫使系统切换至人工操作模式。

报告强调："此类攻击可能产生超比例影响，特别是许多西方国家已意识到关键基础设施长期存在的安全隐患。"此前CARR（重生俄罗斯网军）就声称入侵过得克萨斯州和欧洲的工控系统，加剧了人们对黑客表演与现实后果重叠的担忧。

政府背景疑云

多方证据暗示俄罗斯政府可能暗中协调这些行动：

美国对CARR成员尤利娅·潘克拉托娃和丹尼斯·德格佳连科实施制裁情报显示CARR与GRU关联组织APT44（又名Sandworm）存在交集开源情报机构Molfar曝光同时涉足NoName057(16)和CARR的个人信息

Intel 471总结称："支持俄罗斯的黑客生态具有流动性，虽然多数攻击技术粗糙，但这些组织确实能招募到具备工控系统入侵能力的专业人员。"