2025年12月8日,【暗网威胁情报监测系统发现】威胁行为者声称泄露了墨西哥Declaración de Sitiación Patrimonial的数据库,暴露了18,104条包含公职人员敏感披露的记录,包括个人详细信息、就业数据、财务信息、资产、负债、收入、利益冲突、信托详细信息、代表数据和其他管理元数据。
事件概述
2025年12月5日,一名威胁行为者(Threat Actor)在地下论坛Leakbase.la上发布了一个名为“Dataleak of Declaración de Situación Patrimonial Mexico”的帖子,声称泄露了墨西哥公共服务人员的财产状况和利益声明数据库。该数据库包含18,104条记录,格式为CSV文件,数据来源于墨西哥的“Declaración de Situación Patrimonial y de Intereses”系统,这是公共官员必须提交的财务和利益披露文件。该系统旨在促进反腐败和透明度,但完整版本通常仅限于监督机构访问,公众版则经过大量编辑。该泄露数据似乎直接从内部行政界面导出,而非从公开平台抓取。
事件在暗网和威胁情报平台上迅速传播,包括VECERT Cyber Threats分析器和DarkWebSonar等来源确认了这一泄露。 这与2025年墨西哥政府部门面临的网络攻击激增趋势一致,该国公共基础设施已成为网络犯罪和地缘政治攻击的目标。
威胁行为者分析
- 行为者标识:泄露者自称为“Chronus”(可能为“Chronus Tg”的缩写,Tg暗示Telegram渠道操作)。该行为者在地下论坛上活跃,发布方式符合政治或财务动机驱动的网络操作风格。
- 动机推测:可能为财务获利(通过出售数据)、意识形态驱动(针对墨西哥透明度机制)或地缘政治破坏(削弱公共机构信任)。Chronus Tg尚未被广泛记录为知名APT集团,但其操作类似于针对拉美政府的机会主义黑客,可能与有组织犯罪或外国势力相关。
- 活动模式:通过论坛发布免费样本,并提供注册用户下载链接(如AnonFiles或GoFile)。这表明行为者可能在测试市场或寻求声誉。目前无证据显示其与更大规模的勒索软件团伙(如Ransomhub)直接关联,但类似事件显示墨西哥政府数据已成为热门目标。
数据分析
泄露数据包括以下关键字段(基于样本和描述):
- 个人标识:全名、CURP(墨西哥唯一公民注册码)、RFC(税务识别码)、家庭成员信息。
- 联系方式:家庭地址、电子邮件、电话号码。
- 职业信息:职位、薪资范围、政府部门(联邦、州、市级)。
- 财务细节:财产所有权(房地产估值、抵押)、车辆注册、银行账户、债务、投资、商业利益。
- 利益冲突:业务关联、潜在冲突声明。
数据规模:18,104条记录,CSV格式。样本显示结构化字段,如“id”、“primerApellido”(姓氏)、“situacion”(状况)、“fecha”(日期)等。这些数据高度敏感,等同于对官员的全面监视情报,无法轻易更换(如CURP/RFC)。
暂无评论内容