文章总结： 文章深入剖析了与以色列情报机构关联的黑客组织GhyamSarnegouni，重点详述了其2022年入侵德黑兰市政监控系统的行动细节。该组织具备高度专业技术，通过长期渗透控制数千台摄像头，服务于情报收集与心理战目标。分析指出其非本土波斯语特征及与摩萨德的高度关联，揭示了网络行动在地缘政治博弈中的关键作用与战略价值。 综合评分： 85 文章分类： 威胁情报,红队,内网渗透,安全大事件

揭秘入侵伊朗首都摄像头的以色列黑客

原创

天御 天御

天御攻防实验室

2026年3月6日 13:52 广东

背景信息参考：以色列情报机构通过入侵交通摄像头和深度渗透手机网络，掌握了哈梅内伊的具体行踪

在当代网络对抗的复杂景观中，以色列情报机构通过先进的技术手段持续影响中东地缘政治格局。其中，一个名为GhyamSarnegouni的隐秘黑客团伙备受关注，该团伙与以色列情报机构密切关联，并于2022年成功入侵伊朗首都德黑兰的市政监控系统。为后续更广泛的战略操作铺平了道路。本文基于可靠情报来源，系统剖析GhyamSarnegouni的运作模式、与以色列的潜在联系，以及其在德黑兰摄像头入侵事件中的核心作用。

GhyamSarnegouni的起源与特征

#

、WithSecure、Check Point Research等来源）以及行动模式分析，采用SVG格式呈现，便于可视化威胁特征。

GhyamSarnegouni 画像 (截至2026年3月)基本属性• 名称：GhyamSarnegouni（波斯语：起义直至推翻）• 首次公开活动：2022年1月26日（Telegram频道出现）• 主要平台：Telegram频道（@ghyamsarnegouni）• 语言：主要使用波斯语（Farsi），宣传内容高度政治化动机与目标• 主要动机：反伊朗伊斯兰共和国政权，支持反对派（高度突出MEK符号与口号）• 目标实体：伊朗政府核心机构（总统府、外交部、国家广播、CCTV、市政系统等）• 行动目的：hack-and-leak（入侵+泄露）、网站涂改、心理战与情报曝光技术能力与TTPs• 入侵深度：内部网络渗透、服务器控制（120+服务器、1300+终端）、加密通信解密• 典型TTPs：长期驻留、内部访问或供应链攻击、数据外泄• 语言特征：文件命名与用词非典型本土波斯语使用者（暗示非纯伊朗内部执行）• 关联能力：疑似长期监控（如德黑兰交通摄像头入侵，用于目标定位）归属与关联评估• 表面身份：伊朗流亡反对派黑客团体，支持MEK（穆贾希丁-人民圣战者组织）• 潜在真实归因：高度疑似以色列情报机构（Mossad / Unit 8200）代理或支持团体• 证据依据：技术专业性、非本土语言痕迹、行动时机与核谈判/地缘事件同步、长期情报收集模式（类似Predatory Sparrow）• MEK关系：宣传高度重合，但MEK否认直接执行；可能为情报供给或间接协同总体威胁等级：高（High）对伊朗政权构成持续网络与政治威胁；具备战略情报价值

#

GhyamSarnegouni（波斯语意为“起义直至推翻”）作为一个黑客团体，于2022年1月首次公开现身，通过Telegram频道发布反伊朗政权信息。该团伙的行动模式以“入侵并泄露”（hack-and-leak）为主，结合网站涂改和宣传性破坏，目标直指伊朗政府核心机构。专家分析显示，其技术能力远超普通激进主义团体，文件命名和用词习惯不符合本土波斯语使用者特征，这暗示可能由非伊朗本土人士主导或中介。

尽管GhyamSarnegouni未公开承认与任何国家情报机构的关系，但多项证据指向以色列情报机构的潜在涉入。该团伙的宣传内容虽突出伊朗流亡反对派组织Mujahedeen-e-Khalq（MEK）的符号（如领导人Massoud Rajavi和Maryam Rajavi的图像），但实际执行显示出专业情报机构的痕迹。以色列长期被指控通过代理团体针对伊朗进行网络渗透，例如Predatory Sparrow团伙曾破坏伊朗钢铁厂，并被疑似与以色列关联。GhyamSarnegouni的行动序列——从2022年1月国家广播入侵，到2023年5月总统机构和外交部攻击——体现出系统化的情报收集与破坏策略，这与以色列摩萨德（Mossad）的网络作战风格高度一致。

GhyamSarnegouni入侵伊朗总统机构在德黑兰的高度防护内部网络

德黑兰摄像头入侵事件的细节剖析

#

#

2022年6月2日，正值伊朗伊斯兰共和国创始人Ruhollah Khomeini逝世纪念日前夕，GhyamSarnegouni声称成功入侵并破坏德黑兰市政超过5000台监控摄像头（CCTV）。这一行动导致摄像头系统中断，同时市政网站和通信系统短暂瘫痪。伊朗官方媒体Young Journalists Club和ISNA新闻社确认了中断事件，但将其归因于“技术维护”，而非外部入侵。

根据情报来源，该入侵并非孤立事件，而是以色列情报机构长期情报积累的体现。金融时报报道显示，以色列黑客早在数年前即已渗透德黑兰几乎全部交通摄像头系统。这些视频馈送被持续传输至特拉维夫进行分析，用于追踪高价值目标的日常习惯，如停车位置和行驶路线。这一前期工作直接服务于战略定位，例如在后续联合军事行动中精确定位伊朗最高领袖Ali Khamenei及其高级官员。GhyamSarnegouni在2022年行动中，不仅瘫痪了摄像头，还在网站上涂改内容，显示反政权口号如“打倒哈梅内伊、莱希，诅咒霍梅尼”，并融入MEK领导人图像。这种混合宣传与破坏的手法，体现了以色列情报机构利用代理团伙放大心理战效应的典型策略。

专家Amin Sabeti和Amir Rashidi对类似入侵的评估进一步佐证了真实性。他们认为，这些行动可能源于内部访问或长期植入后门，伊朗因西方制裁而依赖老旧硬件和某国设备，易受漏洞利用。这与以色列网络部队的“非动能效果”——如美国网络司令部在联合行动中描述的通信和传感器网络破坏——高度契合。

以色列情报机构的战略角色

以色列情报机构在GhyamSarnegouni行动中的涉入虽未获官方证实，但地缘政治背景提供有力推断。伊朗长期被视为以色列首要威胁，两国网络对抗频繁发生。以色列单位曾针对伊朗核设施（如Stuxnet蠕虫）实施破坏，而GhyamSarnegouni的行动时机常与核谈判敏感期重合，例如2023年5月总统机构入侵发生在国际原子能机构缓解对伊朗压力前夕。Rashidi指出，此类泄露旨在公开核计划信息，干扰谈判进程。

此外，2026年美以联合行动的细节揭示了以色列黑客的深度渗透：在行动前，以色列网络部队干扰哈梅内伊周边移动基站，洪泛塔台以阻断预警。这与德黑兰摄像头入侵的技术路径相似，均依赖长期数据收集。GhyamSarnegouni作为潜在代理，不仅执行破坏，还通过入侵伊朗祈祷应用程序呼吁起义，进一步削弱政权内部凝聚力。尽管MEK公开“拥有”这些行动，但专家Kashfi强调，非本土语言痕迹表明背后可能有以色列情报支持。

全文完！

推荐阅读

闲谈

1. 中国网络安全行业出了什么问题？
2. 国内威胁情报行业的五大“悲哀”
3. 对威胁情报行业现状的反思
4. 安全产品的终局
5. 老板，安全不是成本部门！！！

威胁情报

1.威胁情报 – 最危险的网络安全工作 2.威胁情报专栏 | 威胁情报这十年（前传） 3.网络威胁情报的未来 4.情报内生？| 利用威胁情报平台落地网空杀伤链的七种方法 5.威胁情报专栏 | 特别策划 – 网空杀伤链 6.以色列情报机构是如何远程引爆黎巴嫩传呼机的？ 7.对抗零日漏洞的十年（2014～2024） 8.零日漏洞市场现状（2024）

APT

1. XZ计划中的后门手法 – “NOBUS”
2. 十个常见的归因偏见（上）
3. 抓APT的一点故事
4. 揭秘三角行动（Operation Triangulation）一
5. 闲话APT报告生产与消费
6. 一名TAO黑客的网络安全之旅
7. NSA TAO负责人警告私营部门不要搞“黑回去”
8. 我们为什么没有抓到高端APT领导者的荷兰AIVD
9. 抓NSA特种木马的方法
10. 美中央情报局（CIA）网络情报中心

入侵分析与红队攻防

1. 入侵分析与痛苦金字塔
2. 资深红队专家谈EDR的工作原理与规避
3. TTP威胁情报驱动威胁狩猎

天御智库

1. 独家研判：五眼情报机构黑客纷纷浮出水面
2. 美军前出狩猎并不孤单，美国网络外交局优先事项分析
3. 《国际关系中的网络冲突》
4. 首发 | 特朗普政府对华网络政策评估

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天御攻防实验室 天御 天御《揭秘入侵伊朗首都摄像头的以色列黑客》