2026-04-25 05:01:49 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 这份报告揭示了监控组织如何利用全球电信网络的底层设计漏洞，通过操纵3G/4G信令协议（七号信令系统与Diameter协议）和发送恶意短信，实现对目标的长期隐秘追踪。核心发现包括攻击者利用运营商间互信模式、绕过信令防火墙以及滥用第三方服务商通道等手段，并识别出STA1和STA2两个具有代表性的跨国监控行动主体。 综合评分： 85 文章分类： 威胁情报,安全分析,网络安全,解决方案,技术标准

cover_image

信号失守：揭秘隐秘监控势力对全球电信网络的系统性渗透

原创

黑鸟黑鸟

黑鸟

2026年4月23日 23:47 广东

在小说阅读器读本章

去阅读

海外安全实验室最新报告首次将真实攻击流量与移动运营商信令基础设施直接关联，完整揭露了两起高复杂度跨国电信监控行动，呈现了商业监控厂商如何利用全球电信互联互通生态的底层漏洞，撬动运营商私有网络，开展持续数年且难以被察觉的隐秘位置追踪行动，核心通过信令日志元数据、数据包捕获、路由数据等多类电信数据源，完成了攻击行为的全链路溯源与技术分析。

核心发现如下：

多维度监控攻击

报告识别出攻击方融合多种技术实现目标追踪，同时运用 3G 与 4G 信令网络协议，配合基于短信的设备直接渗透手段。
SIM卡定向利用

其中一场攻击行动通过发送含隐藏 SIM 卡指令的恶意短信，提取目标位置信息，试图将目标设备转化为隐秘追踪信标。
定制化高复杂度工具

两个攻击主体均使用定制化监控工具，伪造运营商身份，操纵信令协议，通过特定互联互通网络路径引导流量，以此规避防御并隐藏攻击溯源线索。
覆盖全球的网络基础设施

攻击行动利用了全球多国运营商相关的标识符与基础设施，涉及的网络分布在英国、以色列、泰国、瑞典、意大利、列支敦士登、柬埔寨、莫桑比克、乌干达、卢旺达、波兰、瑞士、摩洛哥、纳米比亚、莱索托、泽西行政区等，展现了极强的全球覆盖能力。
长期持续的攻击行动

移动信令安全服务商 Cellusys 共享的遥测数据显示，相关运营商标识符被重复使用多年，形成了稳定的集群，支撑了长期运行的监控行动。
运营商间服务商的运营安全短板

互联互通流量的筛查机制存在漏洞，使攻击者能够通过受信任的运营商通道传输监控消息，进而接入目标网络。
协议设计与落地的安全缺陷

3G 网络使用的七号信令系统先天缺乏基础安全机制，4G 主流的 Diameter 协议虽设计了更强的安全控制，但运营商普遍未落地相关防护，仍沿用基于运营商间互信的传统模式，导致 4G 网络仍面临大量同类监控攻击风险。

#

全球移动运营商之间的互联互通，支撑了国际漫游、短信、应急服务等核心功能。

这套系统融合了服务 3G 网络的七号信令系统（SS7），以及服务 4G 与多数 5G 网络的 Diameter 协议。七号信令系统虽被视为传统协议，至今仍在国际通信场景中承担关键作用，两类协议共同构成的信令生态，为监控攻击者创造了大量可利用的空间。

这些安全风险并非来自软件漏洞或网络配置错误，而是根植于全球电信系统的设计底层与商业实践。全球移动生态包含上千家运营商，通过漫游协议与信令体系互联互通，整个体系的设计优先级始终是效率、服务可用性与商业收益，而非安全。这一现状催生了一个隐秘的市场，国家背景与商业间谍机构在其中开发并部署各类软件平台，将电信网络武器化，用于全球范围的监控行动。

七号信令系统的设计初衷，是服务于由移动运营商与合法第三方服务商组成的可信群体。它缺乏 IP 网络具备的基础安全机制，包括验证信令消息来源的身份认证机制，确保数据未被篡改的完整性校验，以及保护内容的加密能力。

Diameter 协议虽设计了更强的安全控制，支持 TLS 与 IPsec 加密，也加入了运营商网络间的身份认证能力，但在实际落地中，绝大多数运营商都未启用这些防护，仍沿用七号信令系统中饱受诟病的点对点互信模式。同时，全球移动通信系统协会规范要求的运营商安全配置校验机制，也极少被严格执行。安全研究已证实，4G 网络仍面临大量与 3G 同源的用户定向监控攻击风险。

更关键的是，信令骨干网的接入权限并非仅向移动运营商开放。大量第三方服务商通过与运营商的互联，提供归属位置寄存器查询、国内外短信服务、漫游枢纽、移动虚拟网络运营支撑等服务。这些平台会代表商业客户频繁生成七号信令系统与 Diameter 信令查询，攻击者只需向这些第三方服务商购买服务，就能获得接入私有信令生态的间接通道。

现代 4G/5G 网络与传统 3G 系统的互操作能力，进一步放大了安全风险。同时部署两类网络的运营商，会支持联合附着流程，让漫游设备同时在 3G 与 4G 网络完成注册，保障服务连续性。能够同时接入两类信令环境的攻击者，可利用这一双注册特性，在 Diameter 与七号信令系统协议之间无缝切换攻击路径。当运营商缺乏针对这类跨协议攻击的防火墙防护时，攻击者就能获得更大的攻击优势。

过去十余年间，研究人员已持续记录威胁主体利用七号信令系统与 Diameter 信令漏洞的攻击行为。但规模化的攻击行动，需要将多类信令协议深度整合到指挥控制系统中，实现跨全球电信网络的稳定运行。这类技术与运营门槛，决定了只有少数资源充足的主体能够完成相关部署。

当前的电信监控生态，主要由两类重叠的群体构成。一类是国家背景的间谍机构，通过电信网络开展信号情报行动。另一类是商业监控厂商，开发并向政府客户出售拦截与追踪服务。报告观察到的电信攻击的多样性与持续性，证实两类主体都在积极利用相关安全漏洞。

与传统网络攻击不同，电信层级的监控几乎完全对安全社区不可见。攻击发生在移动运营商、电信设备厂商、移动互联互通服务商组成的封闭生态中，安全研究社区几乎无法接入。这种不透明性，导致攻击极少被公开曝光，野外环境中用于电信间谍活动的技术与基础设施，大多长期处于隐藏状态。

同时，攻击者可通过合法的信令标识符与互联互通服务商，伪装成受信任的运营商。当运营商通过商业租赁协议向第三方开放基础设施接入权限时，监控行动就会直接冒用该运营商的身份，彻底掩盖攻击者的溯源线索。

运营商最初为应对公开曝光的七号信令系统位置追踪攻击，部署了七号信令系统防火墙，后续又针对 4G 威胁部署了 Diameter 防火墙。但行业调研显示，运营商的相关部署进度缓慢，针对同时融合 3G 与 4G 技术的高级攻击，防护能力极为有限。

报告分析的两场攻击行动，清晰展现了监控攻击者如何利用这些防护缺口，使用合法的运营商信令标识符，通过全球互联互通系统发送位置查询。部分标识符通过商业协议或中介服务商获得，另一部分则被伪造，用于伪装成合法运营商基础设施。由于移动漫游生态依赖运营商间的可信连接，攻击被设计为看似来自合法网络的流量，这些技术让监控攻击者得以在体系中以幽灵运营商的身份运行，冒用运营商身份接入私有信令骨干网的同时，始终保持自身不可见。

两大跨国监控行动完整拆解

持续多年的定向位置追踪行动 STA1

#

报告将首个威胁主体命名为 STA1，这是一个技术能力极强、长期持续运营的电信监控组织。分析结果显示，STA1 对移动信令协议、国际漫游生态、信令防火墙机制都有极深的理解，能够通过多个地理入口接入私有信令骨干网，并有体系化的方法绕过网络防御。观察到的活动显示，该主体掌握大量运营商身份资源，并会通过刻意的路径操纵技术，控制并伪装监控流量的传输路径。

2024 年 11 月 25 日，一系列来自多个境外运营商网络的信令消息，定向攻击了中东某移动运营商的一位用户，试图获取设备位置信息。运营商后续确认，被攻击的国际移动用户识别码归属一位超高净值用户，证实这是一次高价值目标的定向监控行动。整场攻击在四小时内完成了五个阶段的完整流程，展现了该组织成熟的规避与攻击手法。

第一阶段为侦察。攻击以两条来自柬埔寨 SEATEL 网络全局码的七号信令系统短信路由信息查询消息开启，试图获取目标手机号关联的国际移动用户识别码，两次尝试均被信令防火墙拦截。

第二阶段为基于七号信令系统的初始位置尝试。STA1 立即切换策略，发起多条七号信令系统用户信息提供消息，向目标网络发起基础位置查询。短短三分钟内，相关请求通过柬埔寨、莫桑比克、瑞典、意大利、列支敦士登、乌干达等九个国家的十一个运营商全局码发出。这种快速切换多网络来源的操作，是典型的寻找防火墙可信路径的战术，也证实 STA1 可通过多个运营商全局码接入全球七号信令系统骨干网。

第三阶段为协议切换至 4G 的 Diameter 体系。七号信令系统尝试失败后，STA1 转向 Diameter 协议，先从英国 Tango Networks 的主机发送六条用户数据插入请求消息，随后又从以色列 019Mobile 的主机发送十九条同类请求。这种持续切换协议与发起网络的操作，展现了该组织绕过防火墙的灵活应变能力。

第四阶段为回归七号信令系统并升级攻击手段。二十五次 Diameter 尝试失败后，攻击者回归七号信令系统的用户信息提供方法，复用攻击前期使用的全局码。八分钟的停顿后，攻击者升级了攻击技术，使用常用于移动位置追踪的随时查询指令，从同一全局码集群发送了十二条相关消息。

第五阶段为 Diameter 操纵的最终尝试。两小时的停顿后，STA1 再次回归 Diameter 协议，并启用了新战术。一条用户数据插入请求消息，使用了与泰国 AIS 运营商关联的新主机名，而发起网络域却使用了某国的网络域。这种主机与网络域的伪造，目的是通过替代的互联互通服务商路径传输位置查询。

整场攻击中，STA1 在四小时内针对单一目标发起了成体系的位置追踪尝试，在七号信令系统与 Diameter 协议间反复切换，通过九个国家的十一个运营商身份轮换发起请求，让攻击流量伪装成合法漫游流量，同时操纵信令标识符与路由路径，通过不匹配的发起主机与网络域，引导流量通过选定的互联互通路径传输。

历史遥测数据显示，STA1 的相关活动最早可追溯至 2022 年 11 月，使用相似的主机名格式与标识符，在超过五百次位置追踪尝试中出现。该组织的目标覆盖泰国、南非、挪威、孟加拉国、丹麦、瑞典、马来西亚、黑山，以及撒哈拉以南非洲的多个国家，这种跨多年、跨多国运营商网络的单一用户定向攻击特征，符合面向多个全球客户部署的商业监控平台特性。

以 SIM 卡为间谍工具的攻击行动 STA2

#

报告识别的第二个威胁主体为 STA2，该组织采用了完全不同的移动监控技术路径。不同于 STA1 操纵七号信令系统与 Diameter 信令协议实现位置追踪，STA2 将设备层级的渗透与网络层级的攻击相结合，形成了更隐蔽的攻击链路。

下图为STA2 监测活动的早期证据（2022 年 10 月 19 日）。

2025 年 2 月 11 日，STA2 发起了一次位置追踪行动，采用了分阶段的顺序攻击模式，融合了网络与设备攻击向量。攻击以基础的七号信令系统侦察与位置追踪尝试开启，随后升级为 SIM 卡渗透，最终以 Diameter 位置追踪查询收尾。

攻击的第一阶段，STA2 通过瑞典 Tele2 运营商的全局码发送了一条七号信令系统用户信息提供消息，用于探测目标网络是否会处理基础位置追踪请求，同时确认目标手机是否接入网络。

第二阶段，仅数分钟后，同一全局码发送了一条携带二进制载荷的七号信令系统移动终结前转短信消息，完成了 SIM 卡渗透攻击载荷的投递。

第三阶段，SIM 渗透攻击被拦截后，攻击者转向 Diameter 协议，先发起一系列认证信息请求探测消息，随后发起用户数据插入请求的位置查询。其中认证信息请求消息使用了无效的受访公共陆地移动网络标识，攻击者并非试图建立真实连接，而是通过畸形的标识值探测目标网络的安全配置，为后续的位置追踪尝试铺垫。后续的位置查询则通过波兰、瑞士、摩洛哥、莱索托、纳米比亚、莫桑比克等多个国家的运营商网络标识符发起，证实该组织可滥用多国运营商的国际信令身份。

这场攻击的核心，是 STA2 使用的特殊格式二进制短信。这类短信被设计为无需任何用户交互，即可触发 SIM 卡的静默漏洞利用，相关指令会将目标手机转化为位置追踪设备。报告分析确认，这一攻击载荷匹配 SIMjacker 攻击的结构特征，这是一种零点击短信漏洞利用技术，最早于 2019 年被曝光，它会调用 SIM 卡中隐藏的 S@T 浏览器应用，执行攻击者注入的指令。

这类攻击利用的 SIM 卡工具包消息，与普通短信完全不同。手机不会向用户展示这类消息，用户也完全无法感知消息的接收，这类消息原本是网络运营商用于配置设备网络参数的专用通道。短信头部的两个关键字段，让攻击得以实现。第一个是协议标识符字段设置为 127，指令设备不展示、不存储该消息，直接将其投递至 SIM 卡执行。第二个是数据编码方案字段设置为 22，指令设备将消息内容视为二进制代码，直接交付 SIM 卡处理。

攻击短信的载荷中，包含了 S@T 浏览器可识别的标准化字节码指令，若未被防火墙拦截，这些指令会被 S@T 浏览器按顺序执行。第一步，SIM 卡会向手机发起指令，获取当前接入的网络小区信息，包括小区标识、位置区域码、移动网络码、移动国家码，这些数据可实现对目标手机的定位，城市区域精度可达公里级。第二步，攻击者会初始化专用变量，拼接获取到的位置信息，构建外发短信。第三步，SIM 卡会指令手机发送包含位置数据的外渗短信，至攻击者控制的列支敦士登 FL1 运营商的短信服务中心地址，整个过程不会向用户发出任何通知，也不会留下可被用户发现的痕迹。

历史遥测数据显示，STA2 的相关活动最早可追溯至 2022 年 10 月，累计发起超过 15700 次位置追踪尝试。相关攻击特征与技术指标，与瑞士电信服务商 Fink Telecom Services 存在明确关联，该服务商曾被调查报道曝光为商业监控厂商。

上图为瑞典电信监管机构 PTS 分配给 Tenenabler 的号码范围。

报告通过完整的路由分析，曝光了三个在监控行动中反复作为流量入口与中转节点的移动网络，这些网络成为了攻击者接入可信信令互联体系的核心网关，让攻击流量得以隐藏在合法基础设施背后。

第一个是以色列的 019Mobile。这是以色列的私营移动运营商，全球移动通信系统协会官网显示其 2013 年开始提供移动服务，也是以色列国际机场出入境漫游服务的独家供应商。报告分析显示，019Mobile 的标识符在 Diameter 监控尝试中反复出现，既作为发起网络，也作为中介节点，路由记录标识符显示其主机是 4G 位置追踪流量的第一跳代理，成为了监控流量的入口与中转点。同时 019Mobile 的相关域名在 DNS 系统中被隐藏，而边界网关协议路由记录证实，其网络可通过以色列主要电信运营商 Partner Communications 接入。

第二个是泽西行政区的 Airtel Jersey。该运营商隶属于 Sure 集团，位于泽西行政区，该司法管辖区曾多次被调查报道曝光电信监控与信令滥用事件。报告调查显示，Airtel Jersey 的节点是 Diameter 信令监控查询的第一跳入口，相关监控活动最早可追溯至 2022 年，该司法管辖区的电信基础设施，被持续用于全球监控流量的路由传输。@blackorbird

第三个是英国的 Tango Networks UK。这是美国 Tango Networks 公司的全资子公司，面向企业客户提供移动服务，2022 年获得英国通信管理局分配的移动网络码与移动国家码资源。报告调查显示，归属该公司的 Diameter 主机名，被 STA1 用作 4G 位置追踪查询的核心入口，相关信令标识符被证实为合法有效的运营商资源，且在多年间被反复用于监控活动。

这份报告是行业内首次将真实的七号信令系统与 Diameter 攻击遥测数据，与跨协议移动监控行动中使用的运营商标识符与互联互通路由进行完整映射。两个攻击主体并未在目标设备植入间谍软件，也未入侵企业网络实现移动间谍活动，而是直接利用合法的运营商信令身份与受信任的互联互通链路，实现了跨国界的定向监控。攻击者将位置查询混入正常的漫游流量，同时操纵协议与网络标识符，在全球电信生态中以幽灵运营商的身份实现了隐蔽运行。

报告的发现，揭露了高级攻击者如何将电信基础设施武器化，开展持续数年且难以被检测的监控行动。电信网络是全球公民社会的运行骨干，当体系内的信任关系被滥用于监控，造成的影响会从个体受害者，延伸至全球所有移动用户。这份调查揭露的不仅是电信领域的协议漏洞问题，更是整个关键移动通信互联互通生态的治理失效，也证实了这些体系缺陷，如何让电信基础设施沦为隐秘的监控平台。

全球电信生态已无法再依赖传统的互信模式。没有身份认证、可强制执行的互联互通管控、商业网络接入的透明度，以及监管层面的问责机制，移动网络将持续沦为全球隐秘间谍活动的承载平台。

相关详细分析内容后续会编译成合集，敬请期待。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑鸟黑鸟黑鸟《信号失守：揭秘隐秘监控势力对全球电信网络的系统性渗透》