文章总结： 一个自称APTIRAN的亲伊朗黑客组织声称从洛克希德·马丁公司窃取了375TB数据，包括F-35战斗机技术文档等，并在暗网标价6亿美元。同时，另一组织HandalaHackTeam公布了28名该公司工程师的个人信息。洛克希德·马丁公司对此予以否认。事件发生在美以打击伊朗之后，被认为是网络报复行动的一部分，但数据真实性、组织协调及入侵路径等关键细节仍待证实。 综合评分： 90 文章分类： 安全大事件,网络安全,恶意软件,威胁情报,红队

暗网标价 6 亿美元：Lockheed Martin 被黑疑云与伊朗网络攻势

原创

🅼🅰🆈 🅼🅰🆈

独眼情报

2026年3月31日 12:32 湖北

事件概述

2026 年 3 月下旬，一个自称 APT IRAN 的亲伊朗黑客组织在 Telegram 上宣布，已从美国最大的国防承包商 Lockheed Martin 窃取了 375TB 数据，内容据称涵盖 F-35 战斗机技术文档、导弹防御系统架构、机密合同和内部通信。赎金从最初的 4 亿美元一路飙升至 6 亿美元，甚至扬言可能涨到 10 亿——这是暗网数据交易史上从未见过的天价。

几乎同一时间，另一个与伊朗情报部门（MOIS）存在关联的黑客组织 Handala Hack Team 发起了所谓「Operation Lockheed Martin」的第二阶段，公布了 28 名驻以色列 Lockheed Martin 高级工程师的护照、住址和服役基地信息，并发出 48 小时最后通牒，威胁工程师离开以色列，否则其住所将成为「导弹目标」。

Lockheed Martin 回应称「没有证据表明这些报告是准确的」，同时表示对自身多层信息安全体系有信心。截至发稿，泄露数据的真实性仍未被独立验证。

核心事实

时间线梳理

| 日期 | 事件 | | — | — | | 3 月 20 日 | APT IRAN 在 Telegram 首次声称入侵 Lockheed Martin，公布数据类型清单 | | 3 月 23 日 | 多家安全研究机构（Flashpoint、Check Point）开始追踪此事件 | | 3 月 24-25 日 | Lockheed Martin 向 Cybersecurity Dive 和 Cyber Daily 发表声明，否认存在证据证实入侵 | | 3 月 26 日 | Threat Market 暗网市场宣布为 APT IRAN 提供销售基础设施；Handala 同日发起工程师 doxxing 行动 | | 3 月 29 日 | Threat Market 正式上架 375TB 数据，标价约 3.74 亿美元，独家买断价近 6 亿美元 | | 3 月 30 日 | APT IRAN 宣布价格升至 6 亿美元，声称已将数据分享给 IRGC（伊朗伊斯兰革命卫队） |

声称窃取的数据内容

据 Cybersecurity Dive 报道，Flashpoint 追踪到 APT IRAN 声称持有 F-35 战机蓝图副本及其他公司机密信息。据 Threat Beat 报道，该组织在 Telegram 上详细列举的数据类型包括：活跃军事项目的技术文档、机密合同、高层人员信息、源代码、未来导弹防御系统的架构文档，以及研究团队的内部邮件。

Lockheed Martin 官方立场

Lockheed Martin 的回应分两轮。据 Cybersecurity Dive 报道，公司发言人最初表示「已知悉相关报告，并有相应政策和程序来应对网络威胁，对自身多层信息系统和数据安全的完整性保持信心」。随后据 Cyber Daily 报道，公司更新声明，明确指出「没有证据表明这些报告是准确的」。

Handala 的 doxxing 行动

据 Cybernews 报道，Handala 泄露的 28 名工程师数据「看起来是真实的」，名单上的护照页姓名与在 Lockheed Martin 以色列工作的真实个人相符。这些工程师据称参与了 F-35、F-22 战斗机维护以及 THAAD 导弹防御系统相关项目。据 Flare 的冲突追踪报告记录，Handala 不仅公布了数据，还直接联系了部分工程师，告知他们家人的姓名、住址、甚至周末活动习惯。

深度研判

「375TB」的可信度问题

这是整个事件最值得打问号的地方。375TB 是一个极其庞大的数据量——相当于约 7500 万份标准 PDF 文档。据 Cyber Daily 最早的报道，APT IRAN 最初声称的数据量实际上是 375GB 而非 375TB，后来数字被放大了三个数量级。

「研判」这种数据量的膨胀符合暗网市场常见的注意力操作模式：夸大数字以吸引买家和媒体关注。据 Hackread 报道，涉及数百 TB 的大规模泄露声称在暗网市场上「并不罕见」，夸大数字是常见策略。

APT IRAN 的真实能力

APT IRAN 并非传统意义上的国家级 APT 组织（如 APT33、APT35 那样有长期追踪记录的威胁行为体），更准确地说是一个亲伊朗黑客行动主义团体。据 Palo Alto Networks Unit 42 的追踪，该组织此前声称对约旦关键基础设施实施了破坏，包括入侵粮食储存系统操控温控设备、关闭太阳能电站逆变器等。据 CSIS 研究分析，伊朗的网络生态存在一个显著特征：国家支持的 APT 组织与黑客行动主义团体之间的界限日益模糊，后者往往充当前者的代理人角色，以维持「合理否认」空间。

「研判」APT IRAN 的技术能力与其声称的战果之间存在明显落差。从已知活动来看，该组织擅长的是针对工控系统的机会主义攻击和信息心理战，而非渗透 Lockheed Martin 这种拥有美国国防工业最高等级安全防护的目标。入侵约旦的粮仓温控系统和窃取 F-35 蓝图，这两件事的技术门槛差了不止一个量级。

Threat Market 的角色

Threat Market 是一个俄英双语的暗网数据交易市场。据 Hackread 分析，其上架数据的页面结构和呈现方式「类似于典型的暗网数据销售页面」。据 Threat Beat 报道，Threat Market 在 Telegram 上公开承认为 APT IRAN 提供了管理后台直接访问权限，并表示将通过加密货币混合器处理交易资金。

「研判」一个俄语暗网市场为亲伊朗组织提供基础设施，这种合作模式与当前美以打击伊朗后，亲俄和亲伊朗网络势力加速合流的趋势一致。据 Intel 471 报告，自 2026 年 2 月 28 日美以对伊朗发动军事打击以来，亲俄黑客组织 NoName057(16) 等已公开宣布支持伊朗并对以色列发动 DDoS 攻击。

两条行动线的关系

APT IRAN 的大规模数据窃取声称和 Handala 的工程师 doxxing 行动几乎同步展开，但两者的数据类型和操作方式截然不同。据 Hackread 和多家安全媒体分析，两者之间「没有明确的关联」。

不过据 Cybernews 报道，Handala 将其行动称为「Operation Lockheed Martin」的一部分，暗示两次攻击可能是某种协调行动的不同阶段。据 Flare 的冲突追踪仪表板记录，这两次行动被列为同一时间段内针对同一目标的关联活动。

「研判」即便两个组织没有直接协调，它们也在事实上形成了「施压叠加」效应——APT IRAN 制造数据泄露的恐慌，Handala 用人肉搜索制造个人威胁，双管齐下对 Lockheed Martin 构成最大化的声誉和心理压力。这符合伊朗网络战的整体策略：通过多个代理团体的并行行动放大影响，同时保持国家层面的否认空间。

6 亿美元标价的信号意义

据 Hackread 指出，6 亿美元的暗网数据买断价「前所未见」。据 Threat Beat 报道，APT IRAN 声称已收到来自俄罗斯和阿拉伯国家的购买请求，并已将数据免费提供给 IRGC。

「研判」如此离谱的标价本身就是信息战的一部分，而非真正的商业交易。从初始的 4 亿美元（APT IRAN 原话：「相当于 4 架 F-35 的造价」）到 48 小时后加码至 6 亿、甚至扬言可达 10 亿，每一轮加价都精准服务于三重目的：一是制造最大化的媒体关注度；二是向美国国防体系施加心理压力；三是通过「F-35 造价」这类措辞传递地缘政治信号。这更像一场精心设计的影响力操作。

更大的图景

这起事件不是孤立的。它发生在 2026 年 2 月 28 日美以联合打击伊朗之后，伊朗网络报复行动全面升级的背景下。据 Intel 471 统计，在军事打击后的第一周内，十多个亲伊朗和亲俄黑客组织对以色列、美国及海湾国家发动了大规模网络攻击。据 Palo Alto Networks Unit 42 报告，在首轮打击后仅 9 小时内，亲伊朗黑客组织就发起了 149 次 DDoS 攻击，覆盖 16 个国家的 110 个组织。

Handala 在同一时期还攻击了医疗科技巨头 Stryker——据报道通过滥用 Microsoft Intune 管理权限远程擦除了约 8 万台设备。FBI 局长 Kash Patel 的个人 Gmail 账户也被 Handala 入侵。美国司法部已查封了 Handala 的四个网站域名，FBI 悬赏 1000 万美元征集该组织成员身份信息。

据 CSIS 的分析，Handala 的幕后被认为是伊朗情报与安全部（MOIS），以及与其关联的 Void Manticore 行动组。这类黑客行动主义团体的核心功能是在不触发常规战争门槛的前提下，为国家网络行动提供掩护和否认空间。

待验证事项

• 数据真实性「待证实」：APT IRAN 目前仅发布了一封据称来自 Lockheed Martin 高管的邮件和一段展示邮箱访问权限的视频。没有任何可信安全研究人员独立验证了 375TB（或 375GB）数据的存在和内容。数据量本身存在矛盾：最早的报道称 375GB，后来变成 375TB，差距达 1000 倍，这一关键差异至今没有得到澄清。
• 入侵路径「待证实」：APT IRAN 没有披露任何关于如何渗透 Lockheed Martin 网络的技术细节。对于一个拥有美国国防工业最高安全等级的目标，这种关键信息的缺失值得高度警惕。
• 两组织协调程度「待证实」：APT IRAN 和 Handala 是否存在直接协调？两者是否从同一次入侵中获取数据？目前没有证据能回答这些问题。
• F-35 技术文档的敏感度「待证实」：即使部分数据为真，泄露的 F-35 相关文件究竟是机密级技术文档还是公开可获取的宣传材料，尚无法判断。真正涉及 Block 4 升级等核心技术的机密数据通常存储在与互联网物理隔离的网络中。
• IRGC 数据共享声称「待证实」：APT IRAN 声称已将数据免费提供给 IRGC，这一说法完全无法核实，且在公开渠道宣布此类情报共享极不寻常——更像是为了最大化心理冲击效果。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 🅼🅰🆈 🅼🅰🆈《暗网标价 6 亿美元：Lockheed Martin 被黑疑云与伊朗网络攻势》