执行摘要
2026-06-08,暗网论坛上出现一则题为 “Iranian spies in the Arab Gulf countries” 的帖子。攻击组织0cx00iq声称掌握约 26,300 名与伊朗在海湾国家及伊拉克情报/军事活动有关人员的数据,并以 11,000 美元,可议价 的价格售卖。材料声称涉及卡塔尔、巴林、沙特阿拉伯、科威特、阿联酋、阿曼和伊拉克。
泄露样例疑似为电子表格,字段包括序列号、全名、母亲姓名、电话号码、所属实体、任务地点、行动目的、出生年份、居住地、出生地等。截图中部分样例字段呈现阿拉伯语与英语双语版本,并覆盖所谓 “Iranian Intelligence”“IRGC Intelligence” 等实体标签。
当前证据主要来自单一论坛帖子截图和用户提供的事件描述,尚未观察到可独立验证的数据包、文件哈希、完整样本、元数据或第三方确认。因此,事件真实性评估为中等偏低至中等置信度;但若数据真实,其对人员安全、反情报、外交安全和区域安全态势的潜在影响较高,综合风险评级为 高。
事件概述
| 项目 | 内容 |
|---|---|
| 事件类型 | 疑似数据泄露 / 数据售卖 |
| 披露时间 | 2026-06-08,具体时区未提供 |
| 来源 | Open Web / breached.su 论坛截图 |
| 帖子标题 | Iranian spies in the Arab Gulf countries |
| 发帖账号 / 攻击组织 | 0cx00iq |
| 声称目标 | 疑似在阿拉伯海湾国家及伊拉克活动的伊朗相关情报/军事人员或线人 |
| 涉及国家 | Qatar、Bahrain、Saudi Arabia、Kuwait、UAE、Oman、Iraq |
| 声称数据量 | 约 26,300 人 |
| 售价 | USD 11,000,可议价 |
| 分发渠道 | 论坛帖 + Telegram Channel / Telegram Account |
| 可信度初评 | 中等偏低至中等,需进一步验证 |
发帖内容声称这些人员服务于 Iranian Revolutionary Guards 与 Iranian intelligence,并声称其任务目标包括破坏行动、军事打击准备、监控边境行动、招募本地代理、网络攻击、内部不稳定活动等。上述内容高度敏感,但目前仍属于攻击者单方面声明,不能直接视为已验证事实。
泄露/样本/文件核心内容分析
4.1 数据字段
用户提供材料显示,攻击者声称数据包含以下字段:
| 字段 | 含义 | 敏感性 |
|---|---|---|
| Serial Number | 序列号 | 低至中 |
| Full Name | 全名 | 高 |
| Title | 头衔 / 身份说明 | 高 |
| Mother’s Full Name | 母亲姓名 | 高 |
| Phone Number | 电话号码 | 高 |
| Affiliated Agency / Entity | 所属机构 | 高 |
| Location Detail | 任务或存在地点 | 极高 |
| Purpose of Presence | 活动目的 | 极高 |
| Year of Birth | 出生年份 | 中至高 |
| Place of Residence | 居住地 | 高 |
| Place of Birth | 出生地 | 中至高 |
这些字段如为真实数据,将构成高度敏感的个人身份信息与疑似情报行动信息,可能被用于人员识别、定向骚扰、物理威胁、反情报筛查、外交施压或虚假信息操作。
4.2 样例内容观察
截图中可见电子表格样式内容,包含英语与阿拉伯语两个版本。英语表格中可见字段如 Full Name、Mother's Full Name、Phone Number、Affiliated Agency、Location Detail、Purpose of Presence、Year of Birth、Place of Birth 等;阿拉伯语表格结构与之相近。
出于安全和隐私原因,本报告不复述截图中可见的个人姓名、电话号码或疑似身份字段。
4.3 数据用途风险
若该数据集真实,潜在用途包括:
| 用途 | 风险说明 |
|---|---|
| 人员识别与定位 | 暴露疑似线人、情报人员或被错误标记人员的身份 |
| 反情报行动 | 区域国家可能据此开展核查、抓捕或驱逐 |
| 舆论影响 | 可被用于制造“伊朗渗透海湾国家”的叙事 |
| 钓鱼与诈骗 | 电话号码、姓名、亲属信息可用于社会工程攻击 |
| 虚假数据投放 | 若数据被伪造,也可能用于嫁祸、抹黑或心理战 |
技术特征与真实性评估
| 特征 | 观察结果 | 真实性/风险含义 | 置信度 |
|---|---|---|---|
| 文件形式 | 截图显示为电子表格界面,疑似 LibreOffice / spreadsheet 环境 | 与批量结构化数据泄露形态一致,但截图可伪造 | 中 |
| 语言 | 英语与阿拉伯语双语版本 | 与面向区域受众和论坛买家的传播方式一致 | 中 |
| 字段结构 | 字段围绕身份、机构、地点、任务目的展开 | 字段设计符合情报/人员档案叙事,但也可能为人工构造 | 中 |
| 数据量声明 | 约 26,300 条 | 仅为攻击者声明,尚未验证 | 低 |
| 售卖价格 | USD 11,000,可议价 | 符合黑灰产数据售卖行为,但不能证明真实性 | 中 |
| 分发方式 | 论坛帖 + Telegram 渠道 | 常见于数据经纪、泄露团伙、黑灰产售卖 | 中 |
| 样本遮挡 | 图片存在大面积水印 0cx00iq,仅展示部分字段 |
典型售卖样例做法,同时限制验证能力 | 中 |
| 独立验证 | 当前未发现独立公开确认结果 | 降低真实性置信度 | 高 |
真实性综合评估
评估结论:中等偏低至中等置信度。
支持真实性的因素包括:字段结构较完整、英语与阿拉伯语样例相互对应、数据类型与声明主题一致、售卖方式符合地下论坛数据交易模式。
削弱真实性的因素包括:当前只有截图和攻击者自述,缺少原始文件、哈希、元数据、样本行验证、独立受害方确认或第三方研究报告;同时,该主题高度政治敏感,存在伪造、拼接、旧数据再包装、或影响行动的可能。
威胁行为者画像与动机分析
| 维度 | 判断 |
|---|---|
| 行为者标识 | 0cx00iq |
| 可能类型 | 数据经纪 / 黑灰产卖家 / 影响行动账号 / hacktivist,均不能排除 |
| 主要动机 | 牟利为主,兼具舆论影响或政治叙事可能 |
| 能力水平 | 未知;仅凭截图无法判断其真实入侵能力 |
| 访问来源 | 未知,可能为自主入侵、内部泄露、二次转售、旧数据拼接或伪造数据 |
| OPSEC 特征 | 使用论坛和 Telegram 导流,典型公开售卖模式 |
| 国家级归因 | 证据不足 |
| 归因置信度 | 低 |
攻击者声称数据可用于“消除 50% 间谍”,该表述带有明显煽动性与营销性质,也可能被用于提高数据售价和关注度。该类措辞不应被视为真实行动能力证明。
结论
该事件应被视为一起 高敏感度、待验证的公开论坛数据售卖事件。现有材料不足以确认其确为伊朗情报部门或 IRGC 相关真实数据泄露,也不能确认攻击者具备真实入侵能力。但截图所示字段、售卖方式和地缘政治主题表明,该事件具有明显的人员安全、反情报和影响行动风险。
暂无评论内容