文章总结： 本文分析了2026年美伊冲突初期的网络作战态势。美以联军侧重情报侦察与协同攻击，伊朗则提前部署APT组织实施分布式报复。文章指出网络空间已成第二战场，关键基础设施面临持续威胁，建议立即隔离工业控制系统。尽管基于有限证据，但揭示了现代战争中网络战的关键作用与非对称特征。 综合评分： 86 文章分类： 威胁情报,安全大事件,网络安全,实战经验,红队

有限的证据与确定的动向：简析美伊开战初期的网络作战

原创

网空闲话 网空闲话

网空闲话plus

2026年3月2日 07:25 北京

2026年2月28日，美国和以色列联合发起代号“史诗狂怒行动”（Epic Fury Operation）的大规模军事打击，标志着中东地区冲突急剧升级。然而，在导弹与空袭之外，网络空间正成为这场战争的“第二战场”。尽管官方对网络行动的具体细节保持沉默，但根据公开的暗网监测数据（2026年2月28日至3月1日）及多家威胁情报公司的报告，网络作战手段在此次冲突中已初显端倪。本文基于现有材料，尝试客观梳理美以联军可能运用的网络作战技战术，以及伊朗及其支持的网络组织的实际动向，并对未来发展进行审慎推演。

一、美以网络作战的现实运用：从理论推演到战场实践

2026年3月1日，Breaking Defense记者Mark Pomerleau发表分析文章《网络攻击如何在“史诗狂怒行动”中针对伊朗》，采访了七位前高级网络官员、军方网络律师等消息人士。尽管这些人士“对实际行动没有内部了解”，但他们的见解勾勒出美以联军在网络空间可能采取的行动框架。

1. 战前防御与情报准备

在任何军事行动之前，规划者首先会采取防御姿态，“以保护军事通信系统和网络”。一位前高级网络指挥官指出，伊朗“拥有相当有能力的网络作战人员，且在过去几年里有了显著提升”。因此，保护己方网络免受反击是首要任务。

与此同时，网络技术被用于情报侦察。材料1提到，网络行动可提供“对目标进行实地侦察，或提供对政权某些成员内心思维的洞察”。这些洞察可能包括“高价值人员的位置、政权当前的意图——他们可能将这些人转移到哪里，如何防御他们，或者他们可能准备如何应对并向哪些目标发射导弹”。这种“网络侦察”不仅能帮助己方提前应对，还能为空袭提供精准目标指引。

2. 伴随动能打击的协同攻击

当空袭开始时，网络攻击可“针对敌方防御和通信，不仅让友军能更小风险地打击，也让敌人更难执行自身行动”。目标可能包括“集成防空系统、预警雷达、指挥控制和通信网络”。然而，一位前官员谨慎表示，网络攻击“不太可能在干扰伊朗的预警或防空系统中发挥作用”，因为美国在2019年对伊朗的类似行动“可能烧毁了大量访问权”，且2024年“午夜之锤行动”后伊朗防空系统已“普遍退化”。

尽管如此，实际迹象表明网络攻击确实伴随了动能打击。材料2引述《耶路撒冷邮报》称，伊朗遭受了“史上最大规模的网络攻击”，并导致网络瘫痪。互联网观察机构NetBlocks发现，伊朗互联网连接“突然下降的时间与导弹袭击的开始时间吻合”。《华盛顿邮报》援引“西方情报机构”的消息报道称，“以色列攻击了伊朗的通信设施”，旨在削弱伊朗军方协调和反击的能力。虽然无法确认这些攻击是否完全由美以发起，但时间上的高度关联暗示了协同作战的可能。

3. 信息心理战与战斗评估

材料1强调，网络技术还可能在信息行动中发挥作用。例如，在行动前或行动期间向伊朗民众发送信息，“以了解在伊朗政权混乱时民众如何起义”；或者向伊朗政权成员和军事机构（如伊斯兰革命卫队）传递类似信息。事实上，在宣布袭击的演讲中，美国总统特朗普对革命卫队成员喊话：“你们必须放下武器，享有完全豁免权。或者，或者面临必死之境。所以，放下武器吧。你将被公平对待，享有完全豁免权，否则你将面临必死无疑的局面。”这种信息可能通过网络渠道扩散，以削弱敌方士气。

此外，网络作战可用于“收集对手的意图和计划，同时试图确定打击行动的战斗损害评估”。例如，通过监控伊朗内部通信，判断空袭是否造成高级领导人伤亡，以及幸存者的下一步行动，从而指导二次打击。

二、伊朗及其盟友的网络动向：从秘密部署到公开反击

如果说美以的网络作战以隐蔽协同为特征，那么伊朗及其支持的网络组织则呈现出“提前动员”与“分布式报复”的态势。材料2和材料3共同勾勒出这一图景。

1. 战前预警：伊朗网络组织的“秘密部署”

威胁情报公司Anomali在2026年2月28日发布的简报中警告称：“这并非纸上谈兵——伊朗支持的组织已被证实正在升级行动。”该公司追踪到，伊朗威胁组织如MuddyWater、APT42和APT33的成员“在行动触发前就已经被激活并重新部署”。尤为引人注目的是，伊朗最活跃的间谍组织APT34在“整整7天的周期内都未被发现”。Anomali分析指出，“这很可能表明他们正在进行秘密部署，而非毫无行动。”这种潜伏状态暗示，伊朗的网络力量早已进入待命模式，只待时机成熟便发起反击。

2. 冲突初期的网络攻击：目标多元化

材料3的暗网监测数据显示，2026年2月28日至3月1日，伊朗共发生27起网络事件，其中16起被归类为“网络攻击”（Cyber Attack），远超其他国家同类事件数量（美国仅1起，以色列6起）。这些攻击主要针对伊朗国内的政府机构、媒体和能源设施，例如：

• 伊朗学生通讯社（ISNA）、伊朗共和国通讯社（IRNA）、法尔斯通讯社（Fars News）等多家媒体遭到攻击，网站显示服务器错误。
• 伊朗政府信息门户、最高领袖办公室、国防部、原子能组织等关键机构也报告遭袭。
• 甚至有报道称，伊朗的祈祷应用程序和Parchin军事综合体受到攻击。

材料2进一步揭示，部分攻击已由伊朗关联组织宣称负责。“网络伊斯兰抵抗”联盟声称对美国和以色列的军事后勤供应商发起DDoS攻击和数据擦除攻击；“法蒂米扬电子团队”则试图对西方金融和能源公司部署“擦除恶意软件”。

3. 代理组织的多样化行动

材料2列举了多个伊朗关联组织的具体行动：

• Handala集团：Flashpoint分析师报告称，该组织“已将目标对准以色列的工业控制系统，并声称已造成该国制造业和能源分销中断”。此前，Handala曾声称“窃取了以色列克拉利特医疗网络的数据”，并对“约旦加油站基础设施的网络攻击”负责。
• APT33（Peach Sandstorm）：微软在2024年报告称，该组织“针对美国和阿联酋的能源和通信目标部署了定制的多阶段后门”。
• Nimbus Manticore：Check Point Research于2024年9月指出，该组织“针对西欧的航空航天、国防和电信机构发起了鱼叉式网络钓鱼攻击”。

这些行动表明，伊朗的网络力量具备“分布式作战”能力，能够同时针对多个国家、多个行业发起攻击，且部分组织已具备长期潜伏和高级持续性威胁（APT）的能力。

4. 网络空间的地理扩散

材料3的统计数据显示，除伊朗本土外，以色列（84起）、美国（31起）、阿联酋（23起）、科威特（14起）、沙特阿拉伯（11起）等国家也遭受大量网络攻击。其中，以色列以52起DDoS攻击居首，阿联酋则以11起网页篡改最为突出。这一分布与材料2的警告高度吻合：伊朗可能通过代理组织对海湾国家（如阿联酋、卡塔尔、巴林）发动报复，因为这些国家为美以提供了军事基地或政治支持。Flashpoint国家安全情报主管奥斯汀·沃尼克指出：“阿联酋、卡塔尔和巴林等海湾国家卷入潜在的交火，凸显出这不是局部冲突，而是高风险的区域安全环境。”

5. 互联网中断的局限与网络力量的韧性

材料2提到，伊朗互联网连接在空袭开始后突然下降，但Anomali公司认为，互联网中断“不太可能阻止报复行动，因为‘预先部署的植入程序、境外操作人员和代理组织独立于伊朗国内基础设施运作’”。换言之，伊朗的网络力量已具备“境外部署”能力，即使本土网络瘫痪，仍可借助海外服务器和代理节点继续行动。Anomali进一步指出，“在常规军事手段明显遭到破坏之后，伊朗政权现在只剩下网络攻击选项了。”

三、态势研判与未来风险

综合上述材料，可对当前网络作战态势做出以下审慎推断：

1. 美以网络作战的特点：隐蔽协同与信息心理战

美以联军在网络空间的动作以隐蔽性为主，极少公开宣称负责，而是通过情报侦察、战场准备、通信干扰等方式融入动能打击。材料1的分析显示，这种“低调”源于网络攻击的敏感性及其对既有访问权限的保护。同时，信息心理战被明确纳入作战规划，特朗普的演讲内容可能通过网络渠道传播，以瓦解敌方士气。

2. 伊朗网络反击的特点：提前动员与非对称报复

伊朗支持的网络组织在战前已进入待命状态，表明其具备成熟的“网络战备”机制。冲突爆发后，这些组织迅速展开行动，目标涵盖工业控制、金融、能源、媒体等多个关键领域，体现出“分布式作战”能力。在常规军力受损的情况下，网络攻击成为伊朗最可行的非对称报复手段。

3. 未来风险与不确定性

• 关键基础设施面临持续威胁：Flashpoint警告称，“在中东从事能源、水务或制造业的任何公司都必须立即将工业控制系统与公共互联网隔离，以减轻类似汉达拉事件造成的破坏。”Handala集团对以色列工业控制的攻击已敲响警钟。
• 全球供应链可能受扰：沃尼克指出，冲突的“次生影响”包括“对关键基础设施的攻击以及对支撑全球贸易的空中和海上走廊的长期干扰”。
• 美国本土防御压力加大：材料2提到，美国网络安全和基础设施安全局（CISA）在冲突前夕发生领导层变动，代理局长马杜·戈图穆卡拉被网络安全主管尼克·安德森取代，且其上级机构国土安全部资金暂时被削减。这可能影响其应对伊朗网络攻击的能力。

结语

“史诗狂怒行动”不仅是一场军事冲突，更是一场网络空间的“影子战争”。基于现有材料，我们可以看到美以联军在网络侦察、协同打击、信息心理战等方面的潜在运用，以及伊朗及其盟友通过提前部署、代理组织分散攻击等方式发起的广泛反击。然而，必须指出的是，本文所依据的材料仍十分有限：材料1多为前官员的理论推演，材料2为威胁情报公司的观察与警告，材料3为暗网监测的统计摘要。这些数据虽具有参考价值，但远不足以全面描绘网络作战的真实全貌。未来网络攻击的强度、范围和破坏性将如何演变，很大程度上取决于战场局势的进一步发展以及各方网络力量的实时博弈。因此，本文的分析仅是基于现有信息的初步推断，实际情况可能更为复杂，需持续跟踪与验证。

参考资源

1、https://breakingdefense.com/2026/03/heres-how-cyber-could-have-been-used-to-target-iran-in-operation-epic-fury/

2、https://www.bankinfosecurity.com/western-cybersecurity-experts-brace-for-iranian-reprisal-a-30890

3、暗网监测数据-20260228-00：00-20280301：晚上10点

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《有限的证据与确定的动向：简析美伊开战初期的网络作战》