文章总结： 这篇文章分析了伊朗APT35组织泄露的内部数据，揭示了该组织在网络安全方面的关键失误。报告指出，APT35虽然技术粗糙，但其内部管理高度官僚化，这种矛盾导致了致命失误：将敏感凭证集中存储于未加密表格、基础设施静态化暴露、财务链条完整可追溯。文章认为，这些失误源于其政府部门文化基因与网络隐蔽行动要求之间的矛盾，警示网络行动的成败依赖于基础行动安全纪律。 综合评分： 90 文章分类： 威胁情报,漏洞分析,应急响应,红队,安全意识

伊朗APT35泄露数据分析第4集：财务数据暴露国家网络行动的官僚化失误

原创

网空闲话

网空闲话plus

2025年12月19日 08:11 北京

2025年12月16日，网络安全研究机构DomainTools旗下的威胁情报平台（DTI）发布了一份名为“APT35泄密事件第四集：泄露伊朗情报行动的幕后通行证”的分析报告。这份被称为“第四集”的泄露资料，并非普通的漏洞或恶意软件分析，而是上百页源自伊朗APT35组织内部的运营电子表格、财务记录与服务器管理清单。这一披露彻底改写了外界对于APT35（又名“迷人小猫”）的认知。该组织长期被评估为一个技术粗糙、模式重复，主要针对记者与异见人士的“喧闹”团体。然而，“第四集”揭示的却是一个高度官僚化、流程精密的国家机器运作剖面。它迫使分析师们将视线从网络攻击的“前台”技巧，转向其“后台”支撑的行政与财务体系。正是在这套追求内部严谨合规的体系中，我们发现了导致其被系统性发现和溯源的一系列致命失误。报告旨在深入剖析，这些根植于组织基因的矛盾，如何为其对手铺设了清晰的归因之路。

核心失误：严密的文书管理与坍塌的行动安全

APT35泄露文件展现的最大悖论在于：其内部管理表现出近乎刻板的严谨性，而对外部威胁的防护却幼稚得惊人。这种“对内精细、对外裸奔”的状态，构成了其最根本的失误。

1. 数字资产的集中化与明文暴露

泄露的核心文件 （参见图1：0-SERVICE-Service.csv 表格截图） 是一个致命的“运营总账”。它系统记录了约170项基础设施资产，但与此同时，竟以明文形式保存了超过50个不同的ProtonMail身份以及80多对明文邮箱:密码格式的凭证。在网络安全领域，将如此高敏感度的访问凭证集中存储于一份未加密的电子表格中，是低级且不可原谅的错误。这相当于将自家所有房门的钥匙串挂在公共告示板上。事实也证明，泄密发生后，APT35未能及时清理这些已被暴露的资产，使得其基础设施在数周内门户大开。

2. 基础设施的静态化与长期暴露

与高级持续性威胁（APT）组织常用的快速轮换、使用抗溯源基础设施的策略不同，APT35的基础设施管理呈现出一种“订阅服务”式的静态化特征。电子表格详细记录了每台VPS的租用周期（如“3个月”）、续费日期和费用。这意味着其攻击基础设施的生命周期是可预测的。更严重的是，文件 （参见图2：1-NET-Sheet1.csv 网络表片段） 中记录的IP地址段、子网分配与波斯语备注，与真实世界中的服务器租赁信息完全吻合。这种将内部网络拓扑规划图与资产台账直接对应的做法，极大方便了防御方进行监控、封锁和归因。

3. 财务链条的完整记录与可追溯性

文件 （参见图3：0-SERVICE-payment BTC.csv 支付记录片段） 旨在建立内部审计的“封闭问责循环”，却意外地为外部情报分析提供了完美的证据链。该表将55笔小额比特币支付（时间跨度为2023年10月4日至2024年12月11日，总额约1225美元）与内部服务编号（如#44、#70）精确关联。这些服务编号又指向服务表中的具体域名和服务器。虽然使用加密货币旨在匿名，但通过将链上钱包地址与内部工单、具体服务在表格中直接挂钩，他们自行构建了“加密货币地址-内部工单-攻击基础设施”的三角关联关系。这使得区块链分析的追踪能力得以穿透匿名层，直接定位到具体的运营活动。附录中列出的数十个比特币钱包地址（如收集钱包 1K93styPFkDGsTYNjgqaDN6xWy5NmUDLhh），正是这种可追溯性的直接产物 （参见图4：运营收集钱包 1K93...UDLhh 的交易历史示意图）。

#

关联失策：组织性疏忽导致的身份与行动暴露

除了具体操作失误，APT35在组织架构和行动逻辑上的设计，也产生了导致暴露的副作用。

1. 身份管理的形式化与实质关联

组织大量使用一次性ProtonMail身份和虚构的欧洲人名（如“Maja Bosman”、“Levis Cross”）进行采购，意图实现行动隔离。这一策略在表面上制造了分散化的假象。然而，所有这些孤立、短暂的身份及其所执行的操作，都被统一记录在同一份共享服务表格中。表格成为了连接所有虚假身份的“后台数据库”。因此，调查人员无需在互联网上艰难关联这些化名，只需拿到这份表格，便能立即看清所有伪装身份及其对应的资产，破除了其精心设计的身份隔离屏障。

2. 项目隔离的失效与内部证据交叉

最具战略意义的暴露在于，APT35无意中揭开了其旗下不同“品牌”行动之间的内部关联。在服务账本中，用于“迷人小猫”网络钓鱼活动的域名和凭证，与关键条目 moses-staff[.]io （属于公开宣称独立的黑客主义组织“摩西·斯塔夫”）并列记录 （参见图5：Moses-Staff[.]io 域名 WHOIS 历史记录 2021-2025） 。相同的ProtonMail账户、相同的注册商、相同的支付渠道反复出现在两类活动的记录中。这提供了无可辩驳的内部证据，证明“摩西·斯塔夫”并非独立的意识形态组织，而是APT35官僚体系下的一个“项目”或“执行部门” 。这种将不同性质行动的后勤支持置于同一套行政管理系统下的做法，是严重的战略失策，它使得一次泄露就能击穿多个行动面具。

3. 供应链的固化与模式可预测性

泄露文件显示，APT35严重依赖少数几家供应商（如EDIS出现约20次，NameSilo出现14次）。其采购的服务器型号、价格区间（约17欧元/月）高度重复。这种固化的供应链和标准化采购流程，虽然提高了内部管理效率，却创造了极其可预测的行为模式。防御者和情报机构可以针对这些供应商和价格区间的交易进行监控，从而在APT35新购基础设施时就能产生预警。

根源剖析：组织文化与战略环境催生的失误

上述失误并非偶然，其根源深植于APT35的组织文化和伊朗所处的战略环境之中。

1. “政府部门”而非“黑客组织”的文化基因

报告深刻指出，APT35“更像是一个政府部门，而非黑客组织”。其首要遵从的是官僚体系的规则：预算审批、发票报销、资产登记、内部审计。这种文化追求的是管理的合规性、流程的可追溯性（对上级负责），而非行动的安全性和隐蔽性（对抗外部威胁）。填写表格、保留收据是为了应对内部审查，却全然忽略了这些记录本身会成为外部调查的黄金线索。

2. 制裁环境下的“碎片化”生存策略与安全管控缺失

为规避国际金融制裁，APT35发展出了一套“碎片化”经济模式：化整为零的小额加密货币支付、通过塞浦路斯等地的中转服务商。这一策略在规避金融监控上是成功的，但它也导致运营结构极度分散 （参见图6：通过Cryptomus等网关的小额加密货币支付示意图） 。这种分散化可能削弱了集中、统一、严格的安全管控能力。各个采购环节或许能“隐身于人海”，但连接这些环节的后台管理系统却缺乏与之匹配的高级防护，最终成为最脆弱的单点故障。

3. 对“持续性”的追求压倒了对“安全性”的警觉

APT35的运作模式显示，其战略重点在于维持网络行动的“持续性”和“韧性”。为此，他们像管理政府项目一样管理基础设施，注重续费、续期。然而，这种对“业务连续”的过度关注，可能使其产生了松懈情绪，误以为只要支付不断，基础设施就安全。未能及时清理已被泄露的系统，正是这种“重建设、轻防护”心态的体现。他们忙于维持机器运转，却忘了敌人已经潜入控制室。

结论

APT35“第四集”分析，是一面照射国家支持网络行动背后脆弱性的镜子。它警示世人，即使有国家资源背书，网络行动的成败仍极大地依赖于最基础的行动安全纪律。APT35的失误，根本上源于其官僚化管理文化与网络隐蔽行动内在要求之间的深刻矛盾。他们将现实政府的文书主义照搬至虚拟战场，留下了无法擦除的电子足迹；为应对制裁而采用的碎片化生存术，反而因后台管理的集中化而暴露了全局。

其教训是双重的：对于防御方而言，威胁情报的关注点应从单纯的恶意软件和漏洞，扩展到对攻击者后勤、财务和管理模式的分析，这些“软肋”往往比技术漏洞更易击中。对于进攻方（尤其是国家行为体）而言，则需重新审视：一套旨在满足内部审计要求的完美行政流程，很可能就是通往外部溯源之路的铺路石。在网络阴影下的斗争中，最危险的漏洞或许并非存在于代码中，而是存在于组织的流程设计和安全文化里。APT35用自身惨痛的教训证明，在网络世界，最坚固的堡垒，往往从内部的账本开始崩塌。

参考资源

1、https://dti.domaintools.com/the-apt35-dump-episode-4-leaking-the-backstage-pass-to-an-iranian-intelligence-operation/

2、https://gbhackers.com/apt35-leak/

查看原文：《伊朗APT35泄露数据分析第4集：财务数据暴露国家网络行动的官僚化失误》