文章总结: SentinelLABS报告披露2024年初至2026年4月,多个与印度和东大有关联的网络组织持续渗透巴基斯坦执法机构,重点目标为俾路支省警察局。攻击者使用PlugX、ShadowPad、CobaltStrike和Remcos等恶意软件,入侵警务应用和邮件安全设备,窃取警务人员档案、刑事案件卷宗、生物特征记录等敏感数据。报告指出数字化警务系统成为情报战场,建议加强境外高风险地区合作方的防御体系,包括持续安全评估和应急断网机制。 综合评分: 88 文章分类: 漏洞分析,威胁情报,恶意软件,红队,网络安全
数字警务的攻防暗战:从SentinelLABS报告看巴基斯坦执法机构遭定向入侵事件
原创
网空闲话 网空闲话
网空闲话plus
2026年7月10日 06:53 北京
在小说阅读器读本章
去阅读
巴基斯坦的执法机构正在成为南亚地缘政治博弈在网络空间的投影焦点。2026年7月9日,路透社援引网络安全公司SentinelOne旗下威胁研究团队SentinelLABS发布的一份长篇分析报告,披露自2024年初至2026年4月,疑多个印度有关联的网络组织,持续对巴基斯坦多个省级及联邦执法部门实施定向渗透。其中,反恐与分离主义势力活跃的俾路支省警察局成为各方力量高度汇聚的首要目标。这一系列有组织、长时间、高针对性的入侵活动,将数字化警务在提升治理效能的同时,无可避免地承载起高度情报价值的现实,清晰暴露在国际视野中。
攻击概况:两年多里四个集群的持续渗透
SentinelLABS高级威胁研究员Aleksandar Milenkoski与Julian-Ferdinand Vögele在报告中确立了从2024年2月到2026年4月的攻击活动观察窗口。研究人员将被观察到的C2(命令与控制)活动归为四个技术集群:PlugX(活动集中在2024年2月至9月)、ShadowPad(2024年11月)、Cobalt Strike(2024年10月至2025年12月)及Remcos(2026年1月至4月)。被瞄准的机构包括俾路支省警察局、开伯尔-普赫图赫瓦省警察局、伊斯兰堡首都警察局,以及负责旁遮普省大城市警务集成指挥的旁遮普安全城市管理局。所有行为体均在不同时间段集中火力攻击了俾路支省警察局。
受损资产范围相当广泛:从两台网络设备、多台托管警务应用Web服务器上的若干应用,到一台曾作为主要入站邮件网关但事发时仍在线处理出站或内部中继流量的FortiMail邮件安全设备。值得高度关注的是,受影响的多个Web应用均属于由欧盟资助的“智慧警察站”数字化计划的一部分,本意是让警务服务更贴近民众。这些应用几乎涵盖了数字化警务的核心模块:管理犯罪及指纹生物识别的刑事记录管理系统、对接国家身份数据库的酒店入住及租客登记系统、反盗车辆数据库、人事管理信息系统,以及直接面向公民的投诉管理系统(CMS)。报告形容,若攻击者从已控服务器渗透到后端数据存储,将获取“警务人员档案、刑事案件卷宗、生物特征记录、被盗车辆记录、酒店住客记录、租客登记记录以及公民投诉内容”,几乎可以拼凑出巴政府在俾路支省全方位的安全态势拼图。
动机分析:国民安全焦虑与地缘对抗的两股驱动力
路透社报道及SentinelLABS原始报告均详细剖析了两方面行为体截然不同的战略动机。
被认为与东大有关联的活动,最直接的驱动因素被分析为对其在巴大量公民人身安全的深度担忧。报告提及,由于东大—巴基斯坦经济走廊建设,在巴东大公民人数庞大,但近年针对他们的致命袭击接连发生,包括2024年3月的西北部自杀式炸弹袭击和同年10月的卡拉奇机场袭击,部分由俾路支分离主义武装俾路支解放军宣称负责。东大驻巴大使在2024年10月公开称袭击“不可接受”,并警告安全形势已成为经济走廊推进的主要障碍。SentinelLABS基于此分析,巴基斯坦执法部门所掌握的信息,能让东大“独立评估其国民面临的安全环境,而不是依赖一个一再未能保护其国民的伙伴”。报告还提及,至2026年1月,东大公安部部长与巴内政部长已同意扩大反恐协调并建立专门保护东大公民的特殊单位。
而被认为与印度有关联的活动,动机更多植根于印巴间长年的敌对关系。俾路支省正是双方相互指责支持武装组织的冲突前沿。巴基斯坦长期指控印度支持俾路支叛乱势力,将俾路支解放军描述为“印度代理人”;印度则否认,并反指巴基斯坦支持袭击印控克什米尔的武装组织。因此,对于印度背景的行为体而言,获取俾路支省警察局关于该省安全治理、反叛乱行动的内部记录,无异于直接获取对手在关键争端省份的行动底牌。
SentinelLABS在报告中用精当的比喻概括了这种奇特的并置:“对东大而言,这是其伙伴的警察部队——但这个伙伴在保护俾路支省东大公民方面不可信任;对印度而言,这是其对手的警察部队——深藏着对两国摩擦核心省份的安全洞见。”
技术解剖:植入物伪装门户“更新”,警方与公民双线沦陷
最令人警惕的,是对俾路支省警察局投诉管理系统(CMS)的深度武器化。研究人员基于共享基础设施和共同目标焦点,将该入侵归因于操作Cobalt Strike服务器193.42.25[.]65的行为体。攻击者在CMS门户的/client scripts/目录下植入了名为cms_plugin.exe的恶意文件。该文件有两个变种:一个用Rust语言编写,作为下载器从193.42.25[.]65拉取后续载荷(分析时未能获取);另一个为.NET可执行文件,伪装成东大安全软件公司奇虎360旗下“360安全卫士”的组件360Safe.exe,实则内置AsyncRAT远控木马,连接C2服务器41.216.188[.]140。
极具欺骗性的是,该植入物运行后会弹出“Update Complete! Please refresh the page”提示框,精心伪装成门户网站功能更新。这意味无论是通过登录界面访问系统的警务人员,还是通过搜索表单查询投诉进度的普通公民,均可能中招。SentinelLABS以高置信度评估称,CMS应用确实服务两类用户群体。若警务人员受害,攻击者可获得深入内部网络的初始立足点并触达CMS之外的行动数据;若公民受害,则平台提交投诉的举报人、当事人将被置于监控之下。
在技术归因方面,研究人员基于在VirusTotal上发现的样本进行分析。他们通过提取.NET植入物的PDB调试路径“D:\codedome\case\six\Client\Client2\obj\Debug\Client2.pdb”,进一步关联到多个共享相同开发环境的AsyncRAT样本。部分样本PDB路径中出现拼音词“xinshi”(可能为“新式”),以及含有简体中文的日志消息。基于此,SentinelLABS判断植入物背后的开发者为“说中文的人士”。需注意,此判断指向开发环境与语言特征,并非对行为体国别的直接认定,但报告将其作为归因链条中的技术佐证之一。
此外,与印度关联的TAG-179组织(Remcos集群),其使用的诱饵文件是一份伪装成涉及阿富汗公民卡持有者等“非法外国人遣返行动计划”的文档,内容涉及地区警察、国家数据库与注册局及情报机构的协调,与巴基斯坦执法目标高度吻合。
各方回应与权威评论:沉默、否认与有限承认交织
路透社报道中,东大驻华盛顿使馆发言人刘畅在邮件声明中称,东大“坚决反对并依法打击一切形式的网络攻击,不允许任何国家或个人在其境内或利用其基础设施从事此类非法活动”。印度驻华盛顿使馆未予回答。巴基斯坦方面,开伯尔-普赫图赫瓦省警察局声明称其系统安全为“最高优先事项”,并强调“没有证据表明任何核心KP警察系统、网络或关键应用已被成功攻破”,但承认“去年巴印紧张加剧期间,KP警察局经历了网络攻击活动的增多”,且“在一起孤立事件中,一名最终用户的登录凭证遭到泄露”。伊斯兰堡警察局、旁遮普安全城市管理局以及巴内政部则均未回应置评请求。
SentinelLABS在报告结论部分从战略高度剖析了此类事件的本质:“当多个网络间谍行为体对同一国家的执法机构展开行动时,这种汇聚本身就是目标价值的信号。吸引他们的是一种特定类型的机构——它掌握着政府内部的安全图景,知晓境内威胁,并记录着应对这些威胁的行动。”报告进一步指出,随着警务数字化进程加快,集成记录、工作流和公共交互的系统“将行动数据、制度数据与公民数据汇聚于相互连接的环境”,使执法基础设施从警务数字骨架转变为情报战场,“任何有能力触及它的对手都将如此对待它”。
【闲话简评】
此次披露再次敲响警钟:我国海外利益高度集中区域的地方执法数字系统,正被各方情报机构视为可间接窥探我方人员安全和项目信息的“情报富矿”。攻击者通过入侵并武器化警方的公共服务门户,不仅直接威胁驻外机构及公民的终端与数据安全,更可能借助窃取的警方内部记录和公民投诉信息,实施精准监控或情报拼接。亟须协助境外高风险地区的合作方,在推进数字警务时同步建立包含持续安全评估、异常行为监控和应急断网机制在内的防御体系;同时,强化对驻外人员和出海企业的防钓鱼、防植入专项培训,严防个人设备沦为渗透我国海外利益安全感知链的薄弱环节。唯有防线前置,才能在隐蔽战中避免被动。
参考文献
[1] Vicens, A. J. (2026, July 9). China, India-linked hacking groups targeted Pakistani law enforcement, report says. Reuters. https://t.co/Xw3YQ1uhlK
[2] Milenkoski, A., & Vögele, J.-F. (2026, July 9). One target, two flags: Rival espionage actors converge on Pakistani law enforcement. SentinelLABS (SentinelOne).
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网空闲话plus 网空闲话 网空闲话《数字警务的攻防暗战:从SentinelLABS报告看巴基斯坦执法机构遭定向入侵事件》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论