潜伏十年，她亲手端掉了欧美最隐秘的黑客组织麻省理工科技评论

事情发生在一个春天。

2024 年 4 月，一名使用“Waifu”和“Judische”作为网名的神秘人士，开始在 Telegram 与 Discord 频道发布针对网络安全研究员艾莉森・尼克松（Allison Nixon）的死亡威胁。这名用户写道，艾莉森・尼克松很快会被灌满汽油的轮胎烧死。他还表示，脑震荡是他最偏好的脑死亡方式，而这将会发生在艾莉森・尼克松身上——这些表述均带有冒犯意味。

事情愈演愈烈。不久之后，甚至有人开始发布由 AI 生成的尼克松的不雅照片。

这些匿名账号将尼克松作为目标，是因为她已经成为一股难以对抗的力量。她在网络调查公司 Unit 221B 担任首席研究官，这家公司的名称来自福尔摩斯的住所。她长期追踪网络罪犯，并协助将其逮捕。

多年来，她潜伏在各类网络聊天频道，或使用化名与作案者直接交流，同时整理对方不慎泄露的个人信息与犯罪线索。这些工作帮助她将多名网络罪犯绳之以法，其中尤其包括一批自称 The Com的无政府主义黑客。

但 The Com 成员不只参与黑客活动。部分成员还会对追踪他们的研究员实施线下暴力。这类行为包括砸窗袭击与报假警诱骗特警突袭。后者是一种危险的恶作剧，行为人谎称目标家中发生谋杀或人质事件，促使特警持械包围目标住所。The Com 分支团体 764 的成员被指控实施更严重的暴力行为，包括虐待动物、持刀伤人与校园枪击，或是煽动 The Com 内外人员实施此类犯罪。

尼克松在十多年前就开始追踪该群体成员。当时其他研究员与执法人员大多忽视这群人，原因是他们年纪尚小，许多仍处于青少年阶段。

由于长期的关注，尼克松积累了大量识别并揭露 The Com 成员身份的经验。联邦调查局特工瑞安・布罗根（Ryan Brogan）表示，自 2011 年与尼克松合作以来，尼克松已协助他与同事识别并逮捕二十多名该团体成员。他认为，尼克松揭露嫌疑人身份的能力无可比拟。

他表示，一旦被他和尼克松盯上，落网只是时间问题。无论行为人使用多少网络匿名手段与操作技巧，最终都会被识破。尽管尼克松从事这项工作已超过十年，她仍无法理解为何 Waifu/Judische 账号背后的人会突然对她发出威胁。

她曾接受媒体采访介绍 The Com，最近一次是在《60 分钟》节目。但她并未公开自己揭露成员身份与工作的细节，因此，这次敌意来得十分突然。她过去曾因 Waifu 吹嘘的犯罪行为关注过这个账号。但威胁出现时，Waifu 已不在她的追踪范围内，因为她当时正在调查其他目标。此时尼克松决定揭露 Waifu/Judische 与其他发出死亡威胁者的真实身份，并以他们承认的罪名将其绳之以法。

她表示，在对方发出死亡威胁之前，她对他们并不感兴趣。

Com 的起源

大多数人从未听说过 The Com，但该团体的影响力与威胁正在不断扩大。

这是一个由松散团体组成的网络社群，成员主要是北美与欧洲英语地区的青少年和二十多岁的青年人，他们也被看作是网络犯罪青年运动的一部分。

通常情况下，国际法与国际规范，以及对报复行为的担忧，会限制国家在网络行动中的力度。但奉行无政府主义的 The Com 并不受此类约束。

过去十年间，该团体的犯罪活动不断升级。早期只是通过分布式拒绝服务攻击瘫痪网站，后来发展为 SIM 卡劫持攻击、加密货币盗窃、勒索软件攻击与企业数据窃取，这些犯罪行为影响到 AT&T、Microsoft、Uber 等多家机构；The Com 成员还参与多种形式的性敲诈，逼迫受害者自残或拍摄色情内容；甚至，其影响还延伸至线下，涉及绑架、殴打与其他暴力行为。

一位长期研究网络犯罪的研究员因工作原因要求匿名。他表示，The Com 在网络领域的威胁程度与俄罗斯相当，背后原因十分特殊。他指出，俄罗斯与朝鲜在网络行动中都会受到约束。国际法、国际规范与对报复的担忧，都会限制国家行为的力度。但无政府主义的 The Com 并不受这些限制。他表示，这是一个相当严重的威胁，但人们往往因为对方只是一群孩子而忽视问题。然而他们造成的影响不容忽视。

（来源：麻省理工科技评论）

布罗根表示，这类行为造成的经济损失会在短时间内达到惊人规模。

The Com 成员没有固定的聚集平台。他们分散在多个网络论坛、Telegram 与 Discord 频道。该团体延续了过去二十年中一系列黑客与亚文化社群的发展模式。这些团体在网络上兴起并获得恶名，随后因核心成员被捕或其他原因衰落消失。尼克松表示，这些团体的动机与活动各不相同，但都源自相同的早期网络环境。The Com 的源头可以追溯到 The Scene。该群体最初由各类盗版团体组成，主要从事游戏、音乐与电影盗版活动。

2011 年尼克松开始关注 The Scene 时，其成员主要劫持游戏账号、发动 DDoS 攻击并提供攻击服务。DDoS 攻击通过僵尸网络流量压垮服务器或计算机，阻碍正常访问。Booter 服务是一种可租用工具，任何人都能使用它对指定目标发动 DDoS 攻击。这些成员会获得部分收益，但主要目的是博取关注与名声。

（来源丨麻省理工科技评论）

这一情况在 2018 年左右发生改变。当时加密货币价格上涨，The Com 作为分支团体出现，并最终取代了 The Scene。成员开始以经济利益为目标，包括窃取加密货币、数据与实施敲诈。

两年后的疫情期间，The Com 成员数量大幅增长。尼克松认为，这一现象源于社交隔离与青少年被迫转为线上学习。她同时认为，经济环境与社交问题也推动了团体规模扩张。她表示，许多成员因技能不足或行为问题无法正常就业。部分被捕成员家庭环境不稳定，难以适应学校生活，部分还表现出精神健康问题。The Com 为成员提供归属感、支持与情绪宣泄渠道。2018 年之后，该团体还为部分人提供了获取金钱的途径。

该社群衍生出多个松散小组，包括 Star Fraud、ShinyHunters、Scattered Spider、Lapsus$ 等。这些小组合作实施系列犯罪活动。法庭文件显示，他们通常以知名加密货币从业者与科技巨头为目标，通过盗窃与敲诈获利数百万美元。

这名网络犯罪研究员表示，即便在以利益为目的的行动中，掌控感、权力与炫耀资本仍是重要动机，这也是成员选择攻击大型目标的部分原因。他表示，行动确实能带来经济收益，同时也是在宣告自己可以影响那些自认为无法被撼动的对象。尼克松表示，事实上部分 The Com 成员受强烈自我意识驱动，这类动机最终会与经济利益目标产生冲突。她表示，他们的经济计划常常因为自负而失败，而这一现象也成为她工作的突破口。

尼克松留着黑色直发，佩戴细框眼镜，身形偏瘦，气质斯文。初次见面时，她甚至会被误认为青少年。她讲述工作时语速很快，仿佛脑中信息急于输出；她在向他人解释 The Com 威胁时，会表现出强烈的紧迫感；当她追踪的对象被捕时，她不会掩饰自己的喜悦。

2011 年，尼克松刚开始调查 The Com 前身社群时，她在安全公司 SecureWorks 的安全运营中心上夜班。该中心负责处理客户网络的工单与安全警报。尼克松渴望进入公司反威胁团队，该团队主要调查并发布来自俄罗斯的国家级黑客组织威胁情报报告。她当时没有相关人脉与经验，无法进入调查岗位，但尼克松拥有强烈的好奇心，这份特质为她开辟了道路。

威胁团队关注黑客对客户网络的影响，包括入侵方式与窃取内容。尼克松则更关注行为人的动机与性格特征。她认为犯罪黑客一定有聚集的网络论坛，于是搜索黑客论坛，进入了名为 Hack Forums 的网站。她表示，过程非常简单直接。

她惊讶地发现，成员会在论坛上公开讨论自己的犯罪行为。她联系 SecureWorks 威胁团队的一名成员，询问对方是否了解该网站，对方认为这只是“脚本小子”聚集的地方----这一说法用来指代技术水平较低的黑客。

当时，许多网络安全专业人士将注意力从网络犯罪转向国家级黑客行动。这类行动技术更复杂，也更受关注。但尼克松喜欢选择与他人不同的方向，同事的轻视反而增强了她对这些论坛的兴趣。SecureWorks 的另外两名同事也抱有同样兴趣。三人在轮班空闲时间研究这些论坛，他们重点调查运营 DDoS 攻击服务的人员。

尼克松喜欢这些论坛的原因是，这对她这样的新手十分友好。威胁情报团队需要获得受害者网络的高级权限才能调查入侵事件。但尼克松可以在公开论坛获取所有需要的信息。这些黑客似乎认为没有人在关注他们，因此，他们经常在操作安全上出现失误，泄露居住城市、就读学校或曾经工作的地点等个人信息。聊天中暴露的细节与其他信息结合，可以帮助揭露匿名账号背后的真实身份。她表示，自己很惊讶识别对方身份竟然相对容易。

论坛中充斥着幼稚的吹嘘与琐碎争吵，但她并不在意。她表示，很多人不愿意做阅读聊天记录的工作。她知道这并不常见，也许自己的思维方式确实有些特别，才愿意投入这项工作。她拥有一项特殊能力，可以在杂乱信息中梳理内容而不受干扰。

尼克松很快发现，并非所有成员都是技术低下的脚本小子。她表示，部分成员展现出真正的创造力与强大技术能力。但由于这些技术被用于劫持游戏账号等无足轻重的目标，而非攻击银行账户，研究员与执法部门并未重视他们。尼克松开始追踪这些人，她怀疑对方最终会将技术用于更重要的目标。这一直觉后来被证明是正确的。当他们转向重要目标时，尼克松已经积累了大量相关信息。

她持续研究 DDoS 攻击两年，直到 2013 年出现转折点。长期追踪网络犯罪的网络安全记者布莱恩・克雷布斯（Brian Krebs）遭遇特警报假警袭击。

安全社区约十余人与克雷布斯合作，试图揭露作案者身份。尼克松也受邀参与其中，克雷布斯将碎片化线索交给她调查。最终团队识别出作案者，尽管对方两年后才被逮捕。当她受邀与克雷布斯及其他调查人员共进晚餐时，她意识到自己找到了志同道合的群体。她表示，那是一段非常棒的时刻。她发现身边有一群志同道合的人，他们愿意提供帮助，并且纯粹出于热爱投入这项工作。

成人影片演员为尼克松带来了下一个重要研究方向。这一方向再次体现出她的能力，她能在 The Com 成员与犯罪趋势成为重大威胁前，就提前发现其苗头。

2018 年，有人劫持部分成人影片演员的社交媒体账号，利用这些账号向大量粉丝发布加密货币诈骗信息。尼克松起初无法判断黑客劫持账号的方式。她向这些演员承诺，只要对方提供黑客控制账号期间收发的私信记录，她就帮助对方找回账号。这些记录将她引向一个论坛，论坛成员正在讨论窃取账号的方法。黑客诱骗部分演员泄露其他演员的手机号，随后使用 SIM 卡劫持技术重置其他演员的社交媒体账号密码，将账号原主人锁定在外。SIM 卡劫持是指诈骗者将受害者手机号绑定到自己控制的 SIM 卡与手机上。

原本发给受害者的通话与短信会转移到诈骗者设备。这包括网站在账号登录或密码修改时发送给用户的一次性安全验证码。在涉及演员的部分案件中，黑客以合理理由诱导电信员工执行 SIM 卡更换。其他案件中，黑客则通过贿赂员工完成操作。黑客随后修改演员社交媒体账号密码，将原主人锁定在外，并利用账号推广加密货币诈骗。