巴基斯坦军事泄密事件

事件概述

2026年6月8日前后，威胁行为者evofox在地下论坛发帖，出售“PK Military Data”（巴基斯坦军事数据）。初始帖中至少包含一份样本文件：一份授权收集护照的授权信。另一份相关文件——巴基斯坦海军的拘留证书也与此次泄露活动有关。

这些文件似乎是巴基斯坦军事和民事背景下的内部行政记录。虽然不属于高度机密的操作材料（例如没有作战计划或技术规格），但它们表明未经授权访问了巴基斯坦国防相关的人员和行政记录。

样本分析

1. 拘留证书（巴基斯坦海军）：

   • 由伊斯兰堡海军综合体E-8区、北区（NI North）部门指挥官办公室签发。
   • 证明军官编号 2120826 Mudassar Hussain LPMT 在2024年7月28日下午至7月29日下午在伊斯兰堡逗留期间，未获得免费餐饮、住宿和交通服务。
   • 由巴基斯坦海军中尉 Muhammad Tariq 代表部门指挥官签署。
   • 附有官方印章，日期约为2024年8月26日。
   • 包含联系电话（051-20064113）和参考编号 SCN-2801/S/91。

2. 授权信：

   • 由 Saad Aslam Saroya（CNIC: 42401-7683431-9）签发，授权 Mr. M Danial Jamil（CNIC: 33103-3908320-9）代表其从拉合尔 Anatolia Services 土耳其签证申请中心代领儿子 Muhammad Hassan Saad Saroya（Form B: 42701-0446480-3）的护照。
   • 包含手写签名和家庭关系细节。

这些文件看起来是真实的行政表格，可能来自官方记录扫描件或内部数据库。授权信被明确附在论坛帖中。

威胁行为者评估

• evofox：根据现有数据，其公开足迹有限。很可能是一名机会主义卖家，而非成熟的APT（高级持续威胁）组织。发布低敏感度样本是常见策略，用于建立信誉并吸引买家购买更大规模的数据包。
• 动机：经济获利——暗网论坛上典型的数据变现行为。2025年其他行为者（如“xuii”）也曾出售类似巴基斯坦国防数据。
• 访问方式（推断）：可能通过被入侵的邮箱账户、内部泄露、配置错误的军事/民事门户，或从被攻破的政府承包商/签证相关系统横向移动。海军行政文件与民事护照授权文件的混合，表明可能访问了共享或互联的人员数据库。