文章总结： 该文档基于2026年美伊冲突背景，全景式梳理了伊朗网络反击力量。文章指出伊朗因国内断网导致国家级黑客组织暂时蛰伏，而关联的黑客活动分子及境外势力成为攻击主力，实施DDoS与数据泄露。内容详细分析了各层级组织的战术特征，并预警网络恢复后国家级力量可能发动的更具破坏性的基础设施攻击，建议防御者提前做好准备。 综合评分： 86 文章分类： 威胁情报,安全大事件,恶意软件

数字战场代理人：伊朗网络反击力量全景图

原创

网空闲话 网空闲话

网空闲话plus

2026年3月4日 07:13 北京

背景：当“断网”成为战略防御

2026年2月28日，随着美国与以色列联合发起的“史诗狂怒行动”与“怒吼雄狮行动”在伊朗境内展开，中东局势骤然升级。在物理空间的导弹与战机交锋之外，一个更为隐蔽、复杂的战场也随之激活——网络空间。

伊朗最高领袖阿亚图拉·阿里·哈梅内伊及多名高级官员在首轮空袭中身亡。面对军事上的沉重打击，伊朗及其支持者迅速将报复的触角伸向数字世界，旨在通过制造经济混乱、基础设施损毁和舆论压力，对其对手施加非对称反击。一场由伊朗国家支持的黑客组织、与其关联的“黑客活动分子”以及国际上的同情势力共同参与的混合战争，已然拉开序幕。

然而，一个值得注意的异常现象是，在冲突爆发后的最初几天，尽管黑客活动分子的攻击喧嚣尘上，但与伊朗政府有直接关联的精英网络间谍部队却异常沉默。多家安全厂商（如Palo Alto Networks、CrowdStrike）分析认为，这很可能与伊朗国内因军事打击而实施的严格网络管控有关。根据Palo Alto Networks Unit 42的监测数据，自2月28日上午起，伊朗可用的互联网连接率骤降至1%至4%之间。这种近乎“断网”的状态，极大地限制了需要持续指挥与控制的国家级黑客组织发起复杂、协同攻击的能力。与此同时，位于伊朗境外、或已提前部署的关联组织及“志愿”黑客活动分子则显得异常活跃，成为当前网络冲突的主力军。

本文将基于多家网络安全厂商发布的威胁情报，对在此次冲突中现身或活跃的、与伊朗相关的黑客组织进行分类梳理与“画像”，勾勒出这张数字烽烟地图上的主要行为体。

01

蛰伏的“正规军”：国家级力量的静默与潜能

这一类组织直接隶属于伊朗两大强力部门：伊斯兰革命卫队和情报与安全部。它们拥有国家级资源，战术成熟，攻击链复杂，是最高等级的威胁。尽管当前因网络中断而行动受限，但其潜在的破坏力不容小觑。它们目前的静默，更像是风暴前的间歇。

1. Cotton Sandstorm （棉花沙暴）

• 别名： Emennet Pasargad, Aria Sepehr Ayandehsazan, MarnanBridge, Haywire Kitten, Altoufan Team （复活的前线身份）

• 隶属关系：伊斯兰革命卫队。

• 组织画像：这是一个以“快速反应”著称的混合型黑客组织，擅长将破坏性网络行动与信息作战相结合。其典型手法包括：网站篡改、分布式拒绝服务攻击、邮箱 / 账户劫持，以及数据窃取后通过伪造身份进行“黑客与泄露”式放大宣传，以塑造特定叙事。

• TTPs：该组织惯用名为WezRat的定制模块化信息窃取恶意软件，通常通过伪装成紧急软件更新的鱼叉式钓鱼邮件传播。在某些情况下，入侵后他们会部署WhiteLock勒索软件，此前主要针对以色列目标。 Check Point Research还观察到其使用SQL注入漏洞进行攻击。此外，该组织有利用人工智能生成语音消息，并将其通过入侵的流媒体服务进行广播的先例。

• 冲突中的动态：冲突爆发后第一天， Cotton Sandstorm便复活了其沉寂一年多的旧网络身份——“ Altoufan Team ”。该身份过去主要针对巴林（美国在该国有军事基地），复活后立即在Telegram上宣称对巴林境内的数个新目标发动了攻击。这充分体现了该组织针对地区热点事件的快速反应能力。

1. Educated Manticore （博学螳螂）

• 别名： APT35, APT42, Charming Kitten

• 隶属关系：伊斯兰革命卫队情报组织。

• 组织画像：这是一个专注于间谍活动的精英组织，擅长针对特定个人进行“高信任度”的冒充攻击。其目标通常是记者、研究人员、安全专家、学者以及反对伊朗政权的海外人士和组织。他们的逻辑是，通过攻陷这些能够接触更广泛网络或接近决策者的人，来获取更大范围的访问权限。

• TTPs：该组织高度依赖社会工程学，通过邮件和多渠道（包括即时通讯应用）进行钓鱼。他们搭建仿冒WhatsApp 、 Microsoft Teams 、 Google Meet等服务的钓鱼页面，窃取凭证和会话令牌。除了数据窃取，他们还具备对目标进行监视的能力，包括获取位置信息。

• 冲突中的动态：近期， Check Point Research观察到该组织针对中东和美国的活动人士及部分高知名度个人发起了攻击。

1. MuddyWater （浑水）

• 别名： Mango Sandstorm, Static Kitten

• 隶属关系：伊朗情报与安全部。

• 组织画像：一个历史悠久的资深黑客组织，以针对中东地区政府、电信、能源和私营部门的间谍活动而闻名。他们通常在目标环境中长期潜伏，收集情报，并在接到指令时迅速切换至破坏模式。其攻击范围广泛，足迹遍及以色列和海湾地区。

• TTPs： MuddyWater的战术工具箱相对稳定：广泛使用Windows原生工具进行后期渗透；滥用合法的远程监控与管理工具进行持久化控制；通过窃取凭证进行横向移动，甚至利用被黑的企业邮箱从内部发送钓鱼邮件。他们的大规模钓鱼邮件通常通过合法的文件共享服务传播。近期的情报显示，其部分工具的开发可能得到了人工智能的辅助。

1. Agrius （阿格里乌斯）

• 别名： Pink Sandstorm, Agonizing Serpens

• 隶属关系：伊朗情报与安全部。

• 组织画像：自2020年起活跃，以在中东地区（尤其针对以色列）实施破坏性行动而闻名。其核心目标是制造网络层面的混乱，并通过泄露窃取的数据来塑造舆论。

• TTPs：该组织的招牌战术是使用擦除器和伪勒索软件，将破坏性的影响行动伪装成勒索攻击。他们常利用面向互联网的Web服务器作为初始入口，部署 ASPX网页后门，并大量使用“离地攻击”技术和公开的渗透测试工具进行侦察和隧道搭建，常从以色列的商业虚拟专用网络基础设施进行操作。在2025年6月的冲突中，Check Point Research 观察到Agrius的基础设施曾主动扫描以色列的易受攻击摄像头，疑似为战后的战果评估做准备。

02

喧嚣的“志愿军”：黑客活动分子与“前台”组织

这是当前网络战场上最活跃、最嘈杂的一群人。他们有些是国家行为体用来“背锅”的“前台”，有些是意识形态驱动的“志愿军”。其攻击手法相对简单，但数量庞大，擅长舆论造势，旨在制造混乱和恐慌。他们的很多说法往往夸大其词，需要谨慎核实。

1. Void Manticore / Handala （虚空螳螂 / 汉达拉）

• 别名： Handala Hack Team

• 隶属关系：伊朗情报与安全部（作为其维持的多个在线身份之一，是典型的“前台”组织）。

• 组织画像： Handala这个身份于2023年底以“亲巴勒斯坦黑客活动分子”的面貌出现，但其背后是国家级行为体。它专门用于进行心理战和声誉破坏，手法“快且脏”：攻陷安全性较低的系统，进行“黑客与泄露”行动，并精心选择泄露数据的发布时间，以对目标施加最大的舆论压力。

• TTPs：其攻击具有机会主义色彩，特别关注供应链入侵（如IT/服务提供商），以此作为跳板攻击下游受害者。攻击后，他们会发布“证据”帖子，以增强可信度并恐吓目标。

• 冲突中的动态：

• 物理世界威胁： Unit 42的报告指出， Handala已将威胁从网络空间延伸至物理世界，据称向一位伊朗裔美国 / 加拿大网红发送了包含其家庭住址的直接死亡威胁邮件，并暗示将通知物理行动人员。

• 基础设施攻击：宣称入侵了约旦的燃料系统、一家以色列能源勘探公司。

• 民用目标攻击：在冲突爆发前，曾宣称攻击以色列民用医疗保健机构，意图制造内部压力。

• 规避技术：该组织还被观察到使用Starlink的IP地址段进行活动，以规避传统地理封锁。

1. 网络伊斯兰抵抗阵线

• 组织画像：一个亲伊朗的“伞式”组织，负责协调多个黑客活动团队的行动，包括RipperSec和Cyb3rDrag0nzz等。它具备一定的组织性和协同性。

• 冲突中的动态：主要针对以色列和西方的基础设施发起同步DDoS攻击、数据擦除操作和网站篡改。 Unit 42的报告称，该组织宣称已入侵以色列的无人机防御与探测系统，以及以色列的支付基础设施。此外，还宣称攻击了以色列公司Control Applications Ltd.的130个远程控制系统。

1. FAD Team

• 别名： Fatimiyoun Cyber Team, Fatimion

• 组织画像：一个由支持伊朗政权人士组成的黑客团体，以激进行动著称。

• TTPs：该组织的核心关注点是擦除器恶意软件和永久性数据销毁。他们声称能够入侵工业控制系统。

• 冲突中的动态：

• 全球数据窃取： Flashpoint监测到，他们发动了一场全球性的SQL注入攻击，窃取了包括一个“虚拟美国空军组织”、以及法国、印度和越南的教育机构在内的广泛目标的个人身份信息。

• 针对美国盟友：声称控制了沙特阿拉伯麦加和麦地那的防火墙设备网络监控仪表盘，并针对美国的阿拉伯盟友发动攻击，包括瘫痪巴林通讯社，DDoS攻击卡塔尔石油公司Gasco和卡塔尔广播电台。

• 地区延伸：还攻击了一家土耳其媒体机构，并声称入侵了以色列和多个国家的监控与数据采集系统。

1. 其他值得关注的组织

• Dark Storm Team ：一个亲巴勒斯坦、亲伊朗的组织，以大规模DDoS攻击著称。宣称攻击了多家以色列网站，包括一家以色列银行。

• 313 Team ：自称“伊拉克网络伊斯兰抵抗力量”，宣称对攻击科威特武装部队、国防部和政府网站负责。

• DieNet ：攻击范围广泛的DDoS组织，宣称攻击了巴林、沙特、阿联酋的机场以及沙特利雅得银行和约旦银行。

• APT Iran ：以“黑客与泄露”行动闻名，宣称对约旦关键基础设施的破坏活动负责。

• Evil Markhors ：专注于凭证窃取，宣称攻击一家以色列银行网站。

• Sylhet Gang ：主要扮演信息放大器和招募引擎角色，宣称攻击了沙特内政部的人事管理系统。

03

外来的援手：俄罗斯黑客的“借题发挥”

德黑兰并不孤单。一些与俄罗斯有关的黑客活动团体也加入了这场数字混战，意图借机发泄自身的地缘政治不满，同时对西方目标施加压力，使得冲突进一步国际化。

1. NoName057(16)

• 组织画像：一个著名的亲俄罗斯黑客活动团体，以DDoS攻击见长。

• 冲突中的动态：在此次冲突中，他们宣称对一系列以色列目标发动了攻击，涵盖市政、政治、电信和国防等多个领域。 Unit 42还观察到该组织与“网络伊斯兰抵抗阵线”合作，对以色列国防承包商Elbit Systems和部分市政府进行了联合DDoS攻击。

1. Cardinal

• 组织画像：一个亲俄罗斯的黑客活动团体，据评估可能与国家有关联，但可能独立运作。

• 冲突中的动态：声称渗透了以色列国防军网络，并在其Telegram频道上泄露了一份据称与“北方之盾”行动有关的机密文件，包含行动细节、指挥批准和联系人信息。

1. Russian Legion

• 组织画像：一个亲俄罗斯的黑客活动团体，擅长发表大胆声明。

• 冲突中的动态：发表了极为大胆且难以验证的声明，宣称已攻入以色列的“铁穹”导弹防御系统，能够控制雷达、拦截目标和实时监控，并造成系统瘫痪。他们还宣称对以色列国防军的封闭服务器进行了新的网络行动。

04

结语：噪声之下，静水深流

当前围绕美伊冲突的网络空间图景呈现出一种奇特的“二元性”：

• 表层喧嚣：由伊朗支持的各类“黑客活动分子”和外国同情者构成的数字民兵，通过DDoS 、网站篡改、低烈度数据泄露等手段，在社交媒体上掀起一波又一波的舆论战。这既是实力的展示，也是心理的较量，意在营造一种伊朗正在全力反击的声势，以掩盖其军事上的失利。

• 深层静默：真正的伊朗国家级网络战力量，因国内断网、指挥链受损而暂时失声。但这并不意味着威胁的消失。正如Palo Alto Networks所指出的，他们可能在“作战隔离”状态下行动，一旦网络恢复或寻找到替代通道，其积蓄的能量可能以更具破坏性的方式爆发，例如针对能源、金融等关键基础设施的定向攻击。

对于全球的网络安全防御者而言，此刻绝非可以放松之时。一方面，需警惕黑客活动分子的“蹭热点”式攻击和勒索团伙借机浑水摸鱼。更重要的是，必须为未来可能到来的、由国家支持的第二波、第三波更精准、更具破坏性的攻击做好准备。喧嚣的尘烟之下，真正的猎手仍在阴影中蛰伏，等待着网络重新连上的那一刻。

备注：资料截止北京时间2026年3月3日22:10

参考来源：

• Dark Reading: https://www.darkreading.com/cyberattacks-data-breaches/as-war-continues-pro-iranian-actors-launch-barrage-of-cyberattacks

• Cybersecurity Dive: https://www.cybersecuritydive.com/news/iran-hackers-cyberattacks-us-allies-israel/734074/

• Palo Alto Networks Unit 42: https://unit42.paloaltonetworks.com/threat-brief-iran-cyber-risk-march-2026/

• Check Point Research: https://research.checkpoint.com/2026/what-defenders-need-to-know-about-irans-cyber-capabilities/

• SecurityWeek: https://www.securityweek.com/iran-cyber-front-hacktivist-activity-rises-but-state-sponsored-attacks-stay-low/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《数字战场代理人：伊朗网络反击力量全景图》