你看到的"獨(dú)立黑客組織"，可能只是同一批人換了個(gè)馬甲。當(dāng)3個(gè)名字完全不同的團(tuán)伙用同一套工具、同一批服務(wù)器、同一套話術(shù)攻擊不同國(guó)家時(shí)，背后藏著什么設(shè)計(jì)？

DomainTools的最新調(diào)查給出了答案：Homeland Justice、Karma/KarmaBelow80、Handala——這3個(gè)被長(zhǎng)期視為獨(dú)立"黑客行動(dòng)主義"團(tuán)體的身份，實(shí)為伊朗情報(bào)與安全部（MOIS）統(tǒng)一指揮的同一套作戰(zhàn)系統(tǒng)。

一場(chǎng)持續(xù)4年的"人格分裂"表演

這場(chǎng)操作的起點(diǎn)是2022年。一個(gè)自稱"Homeland Justice"的團(tuán)體對(duì)阿爾巴尼亞政府發(fā)動(dòng)攻擊，手法在當(dāng)時(shí)就顯露出不尋常的組織度。

伊朗國(guó)家行為者在公開(kāi)宣稱負(fù)責(zé)前，已潛伏于阿爾巴尼亞政府系統(tǒng)約14個(gè)月。這段時(shí)間里，他們完成了敏感文件竊取、破壞性工具部署，并為后續(xù)公開(kāi)行動(dòng)儲(chǔ)備了素材。

攻擊公開(kāi)后，該團(tuán)體將技術(shù)入侵與高調(diào)的信息發(fā)布結(jié)合，把一次網(wǎng)絡(luò)攻擊轉(zhuǎn)化為具有顯著地緣政治影響的"影響力事件"。這不是臨時(shí)起意的黑客行為，而是有劇本、有節(jié)奏、有預(yù)留空間的系統(tǒng)工程。

DomainTools分析師追蹤發(fā)現(xiàn)，同一威脅行為者后續(xù)切換至"Karma"身份，再演變?yōu)?KarmaBelow80"，于2023年底將目標(biāo)轉(zhuǎn)向以色列機(jī)構(gòu)。

關(guān)鍵證據(jù)在于：底層工具、基礎(chǔ)設(shè)施、攻擊方法在這些"rebranded campaigns"（品牌重塑行動(dòng)）中保持完全一致。共享的域名模式、統(tǒng)一使用Telegram作為命令與控制通信渠道、重復(fù)出現(xiàn)的技術(shù)行為特征——這些線索讓DomainTools以高置信度評(píng)估，所有表面獨(dú)立的團(tuán)體實(shí)為MOIS直接指揮的連通系統(tǒng)。

2024年至2026年，該行動(dòng)以"Handala"名義繼續(xù)演進(jìn)。這一身份借用知名巴勒斯坦卡通人物命名，重心轉(zhuǎn)向信息作戰(zhàn)，包括精心策劃的數(shù)據(jù)泄露、針對(duì)記者與異見(jiàn)人士的定向騷擾，以及與以色列有關(guān)聯(lián)的個(gè)人。

2026年3月，美國(guó)司法部宣布查封4個(gè)關(guān)聯(lián)域名：Handala-Hack.to、Karmabelow80.org、Justicehomeland.org、Handala-Redwanted.to。這些域名被用于發(fā)布竊取數(shù)據(jù)、宣稱攻擊責(zé)任，以及對(duì)特定具名個(gè)人煽動(dòng)暴力。

正方：多身份策略是精妙的運(yùn)營(yíng)設(shè)計(jì)

從戰(zhàn)術(shù)層面看，MOIS的這套"人格分裂"架構(gòu)具備多重功能優(yōu)勢(shì)。

第一，風(fēng)險(xiǎn)隔離。單一身份暴露不會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)崩潰。Homeland Justice在阿爾巴尼亞行動(dòng)后高調(diào)現(xiàn)身，必然引發(fā)追蹤；此時(shí)切換至Karma身份，可讓新目標(biāo)以色列機(jī)構(gòu)從零開(kāi)始建立防御認(rèn)知，而攻擊者已攜帶成熟工具鏈和作戰(zhàn)經(jīng)驗(yàn)入場(chǎng)。

第二，敘事適配。不同身份承載不同地緣政治符號(hào)。Homeland Justice的命名指向阿爾巴尼亞國(guó)內(nèi)政治語(yǔ)境；Karma/KarmaBelow80帶有技術(shù)黑客亞文化色彩；Handala則直接嵌入巴勒斯坦抵抗敘事。這種符號(hào)靈活性讓同一套行動(dòng)系統(tǒng)能夠精準(zhǔn)對(duì)接不同地區(qū)的輿論土壤。

第三，能力偽裝。將國(guó)家行為拆解為多個(gè)"獨(dú)立黑客團(tuán)體"，可降低目標(biāo)的防御等級(jí)。面對(duì)疑似國(guó)家級(jí)對(duì)手，政府和企業(yè)會(huì)啟動(dòng)最高響應(yīng)機(jī)制；面對(duì)"黑客行動(dòng)主義者"，處置優(yōu)先級(jí)和資源配置可能下調(diào)——這正是MOIS利用的認(rèn)知縫隙。

第四，持續(xù)壓力。多身份輪換創(chuàng)造了"打不完"的感知效果。即使某個(gè)身份被制裁、被查封域名，新身份可立即承接其功能，維持對(duì)目標(biāo)群體的持續(xù)信息環(huán)境操控。

安全研究人員將該整體威脅行為者追蹤為"Void Manticore"，DomainTools報(bào)告中也以"MOIST GRASSHOPPER"指代。這一命名體系本身即說(shuō)明：分析社區(qū)已識(shí)別其統(tǒng)一性，但公開(kāi)敘事中長(zhǎng)期被迫以分散身份討論。

反方：多身份是資源冗余，暴露反而加速溯源

另一種視角認(rèn)為，這種多身份架構(gòu)存在結(jié)構(gòu)性缺陷，MOIS可能低估了現(xiàn)代威脅情報(bào)的關(guān)聯(lián)分析能力。

域名基礎(chǔ)設(shè)施的重復(fù)使用是明顯破綻。美國(guó)司法部一次行動(dòng)即可同時(shí)查封4個(gè)關(guān)聯(lián)域名，說(shuō)明這些身份在底層資產(chǎn)上高度糾纏。對(duì)于具備全域視野的情報(bào)機(jī)構(gòu)而言，多身份非但未增加追蹤難度，反而提供了更多關(guān)聯(lián)節(jié)點(diǎn)——每個(gè)身份都是進(jìn)入整個(gè)網(wǎng)絡(luò)的潛在入口。

技術(shù)行為的一致性構(gòu)成了"指紋效應(yīng)"。攻擊者更換名稱卻無(wú)法更換其編碼習(xí)慣、工具偏好、通信協(xié)議選擇，這些深層行為模式比表面身份更難偽裝。DomainTools正是憑借這些"不變量"完成了跨身份關(guān)聯(lián)。

敘事邏輯的內(nèi)在張力同樣可被利用。當(dāng)Handala聲稱代表巴勒斯坦抵抗力量時(shí)，其攻擊目標(biāo)與時(shí)機(jī)卻與伊朗國(guó)家利益高度同步——這種"巧合"本身即成為歸因線索。多身份策略要求每個(gè)身份維持獨(dú)立的敘事一致性，這在長(zhǎng)期運(yùn)營(yíng)中成本極高，且任何敘事漂移都可能暴露指揮鏈的單一來(lái)源。

更根本的矛盾在于：多身份設(shè)計(jì)的優(yōu)勢(shì)依賴于目標(biāo)的"分散認(rèn)知"，即不同受害者各自面對(duì)不同身份、無(wú)法共享威脅情報(bào)。但在2026年的全球安全生態(tài)中，這種信息孤島已被打破。阿爾巴尼亞、以色列、美國(guó)的情報(bào)機(jī)構(gòu)與私營(yíng)安全公司形成協(xié)作網(wǎng)絡(luò)，使得MOIS的多身份架構(gòu)反而成為"多點(diǎn)觸網(wǎng)"的脆弱性來(lái)源。

深層追問(wèn)：國(guó)家黑客的"身份經(jīng)濟(jì)學(xué)"

這場(chǎng)案例揭示了一個(gè)被低估的維度：網(wǎng)絡(luò)空間中的"身份"已成為可消耗、可迭代的作戰(zhàn)資源。

傳統(tǒng)軍事情報(bào)強(qiáng)調(diào)隱蔽與持久，但MOIS的模式展示了另一種邏輯——主動(dòng)制造可見(jiàn)的"黑客身份"，將其作為信息戰(zhàn)的傳播節(jié)點(diǎn)。Homeland Justice、Karma、Handala不僅是攻擊工具，更是內(nèi)容品牌；其Telegram頻道、泄露網(wǎng)站、公開(kāi)聲明構(gòu)成了一套平行于暗網(wǎng)技術(shù)基礎(chǔ)設(shè)施的"明網(wǎng)影響力基礎(chǔ)設(shè)施"。

這種"身份即彈藥"的思維，模糊了網(wǎng)絡(luò)攻擊與政治宣傳的傳統(tǒng)邊界。當(dāng)美國(guó)司法部查封4個(gè)域名時(shí)，其打擊目標(biāo)不僅是技術(shù)節(jié)點(diǎn)，更是信息發(fā)布的渠道資產(chǎn)。MOIS的應(yīng)對(duì)策略也印證了這一點(diǎn)：域名可換、身份可換，但"制造影響力事件"的核心任務(wù)不變。

對(duì)于防御方而言，挑戰(zhàn)在于重新校準(zhǔn)歸因標(biāo)準(zhǔn)。當(dāng)多個(gè)"獨(dú)立團(tuán)體"共享工具、基礎(chǔ)設(shè)施、甚至部分人員時(shí)，區(qū)分"同一行動(dòng)者的不同身份"與"不同行動(dòng)者的協(xié)作網(wǎng)絡(luò)"變得極為困難。DomainTools的高置信度評(píng)估依賴于長(zhǎng)期追蹤與多維度關(guān)聯(lián)，但這種分析能力并非所有防御者都具備。

更值得觀察的是國(guó)際反應(yīng)模式。阿爾巴尼亞在2022年攻擊后于2023年9月與伊朗斷絕外交關(guān)系；美國(guó)財(cái)政部于2023年9月對(duì)MOIS及相關(guān)人員實(shí)施制裁；2026年3月的司法部行動(dòng)則進(jìn)入司法執(zhí)法層面。這種從外交到金融再到法律的升級(jí)路徑，反映了國(guó)家支持網(wǎng)絡(luò)攻擊歸因后的標(biāo)準(zhǔn)應(yīng)對(duì)劇本，但其威懾效果仍待檢驗(yàn)——MOIS的Handala身份在域名查封后仍在運(yùn)營(yíng)。

最終，這個(gè)案例提出的核心問(wèn)題是：當(dāng)1個(gè)國(guó)家部門可以低成本生成無(wú)限數(shù)量的"黑客身份"時(shí)，基于"團(tuán)體歸因"的防御策略是否正在失效？答案或許在于，防御者需要將分析單元從"身份"下沉至更底層的技術(shù)行為模式與基礎(chǔ)設(shè)施關(guān)聯(lián)——這正是DomainTools此次調(diào)查的方法論價(jià)值所在。