- 國際調查記者同盟(ICIJ)
在加拿大多倫多大學公民實驗室的協助之下,ICIJ(國際調查記者同盟)進行調查發現,包括《天下》總編輯被冒名案,是針對ICIJ與其合作媒體攻擊的一部份。此攻擊在2025年「中國箭靶」(China Targets)專題發布後發起。這份由ICIJ與全球42家媒體合作完成的調查報導,揭露了北京如何跨國威脅、脅迫和恐嚇流亡海外的異議份子。(編按:《天下雜誌》並未參與此專案)
公民實驗室專研數位威脅,在分析冒充ICIJ記者發送給亞洲、歐洲和美國目標的可疑電郵之後,今日與ICIJ、《天下雜誌》同步發表研究報告。報告指出,針對ICIJ網絡的攻擊,是一場大範圍行動的一部份。目標在竊取維吾爾族、藏族、台灣和香港僑民,與報導這類異議人士的記者的私人資訊。
公民實驗室資深研究員布朗(Rebekah Brown)負責這次的研究。她表示,這些與中國政府有關的所謂「威脅行為者」(Threat Actors)曾使用祕密手段來了解ICIJ的受訪者。
「這點非常重要,尤其是在『中國箭靶』系列報導發布之後,有人下令,要求他們了解這些異議人士跟誰聯絡、現在在做什麼,他們該如何干預、如何阻止這類報導繼續傳播,」布朗認為,「這導致了針對ICIJ與可能接觸異議社群者的入侵行動。」
雖然調查未能確定是哪個政府機構下達了這些命令,但布朗表示,「我們高度確信這是中國所為。」布朗曾在美國政府擔任網路戰分析師。
ICIJ調查報導發布後,中國要抓異議份子?
一名台灣國安官員向《天下雜誌》表示,這些攻擊與其他已被辨識為中國國家支持的間諜行動的一部分的攻擊手法相似。
公民實驗室的報告指出,分析人員發現一百多個網域,針對十幾名人士,目的是竊取數位憑證(credentials),很可能用於後續的跨國數位鎮壓活動。
ICIJ訪問了部份受害者,其中包括一名台灣外交部官員。該官員曾被冒充ICIJ記者的人聯絡。這位冒牌貨告訴官員,他的聯絡方式是由「總部」提供的——記者通常不會使用「總部」這個詞。
公民實驗室發現了一些漏洞,表明攻擊者可能用了「大量」攻擊,利用AI寫訊息、辨識目標與自動化攻擊,卻缺乏有效的監督。「這再次證實,中國政府仍然非常關注控制其在海外的輿論,並鎮壓、監視或騷擾那些挑戰其官方觀點的人士,」公民實驗室中國監控研究員迪爾克斯(Emile Dirks)表示。
被冒名的ICIJ成員記者「Yi-Shan Chen」接觸,台灣沃草營運長洪國鈞指出,一件讓他至今仍覺得好笑的怪事。在一次互動中,這位假記者給他發了一個網站連結,指向另一家新聞機構駐華記者的網頁。連結末尾顯示著「source=chatgpt.com」。洪國鈞一看就知道,這位疑似間諜正在使用ChatGPT來調查目標。
布朗告訴ICIJ這是一個重大發現,因為ChatGPT的開發者OpenAI先前調查顯示,中國執法部門曾利用其系統策劃並實施針對異見人士和政權批評者的「網路特勤行動」。
中國駐美國大使館發言系統回覆ICIJ:「追查網路攻擊來源是項複雜的技術。我們希望相關單位能秉持專業和負責任的態度,在對網路事件進行定性時,應基於充分證據,而非憑空臆測和指控。中國一貫反對並嚴厲打擊任何形式的網路攻擊。」
不只有假記者,也有假吹哨者
當假「Yi-Shan Chen」在台灣接近目標時,遠在數千英里之外的歐洲,一位台灣外交部官員和一些在美國為維吾爾等少數民族發聲的中國異議人士,也收到了其餘假ICIJ記者的採訪請求。而ICIJ記者自己,也收到了自稱是中國吹哨者的電郵,願意提供有新聞價值的線索。
2025年6月,這位記者收到了一封自稱是北京前司法助理的白彬的電郵。 「白彬」表示願意分享一些文件證據,揭露一起金額高達1000萬美元的貪污案,將涉及中國最高反腐官員。
在英文電郵中,這位吹哨者表示,該計劃是由「高層」策劃,他本人已帶著祕密文件逃往日本。去年,中國媒體的確有報導,一名前途光明的司法助理白彬盜竊了超過400萬美元後,逃離中國。「白彬」堅稱,這些對他的指控是為了掩蓋他想要揭露的罪行。
「白彬」稱讚ICIJ,並承諾提供協助。他的第一封郵件於2025年6月20日發出,就在ICIJ發表《中國箭靶》幾週後。《中國箭靶》系列文章之一,詳細描述北京和香港的中國官員如何利用國際刑警組織的紅色通緝令,迫使一名與政界關係密切的商人返回中國。 「白彬」提到同一反腐敗機構的資訊。
但他的訊息有點怪。語氣異常正式,用字就像AI寫的。句子末尾使用了破折號,這是某些AI寫作風格的特徵。儘管郵件署名是白彬,但郵箱帳戶的註冊名卻完全不同,是一位精通中國和台灣事務的美國前外交官。郵件裡有個連結,號稱可連到一個存放大量機密文件的文件夾。
ICIJ認為,這應該是個惡意連結,吹哨者也是冒名的。目的是試圖釣魚,竊取記者的ID與密碼以獲取其他敏感數據。記者沒有點擊連結,但回覆了郵件。在十多封書信往返後,假「白彬」發了脾氣。他在一封長郵件中寫道,「我感到非常沮喪。我已經投入了大量的時間和精力來嘗試促成此事。」ICIJ試圖聯繫真正的白彬,但未能成功。
手法熟練,但只是老套的釣魚誘騙
布朗表示,虛假吹哨者的故事顯示其手法老練,但用的工具仍只有一種,就是同意釣魚(OAuth phishing)。這類網路攻擊會將受害者誘入「看似」合法的微軟或Google登入頁面,但實際上,卻會授權惡意應用程式讀取電子郵件、傳送訊息和存取檔案。
「儘管他們投入大量資源來塑造身分,編造他們認為誘人的故事,但在技術層面上,他們基本上只有同意釣魚工具包,僅此而已,」布朗說。
這次攻擊與另一種名為「魚叉式網路釣魚」的攻擊方式有相似之處。之前,就有網路安全分析師發現,中國政府支持的駭客組織發起,透過發送個人化訊息誘騙用戶洩露敏感資料。
公民實驗室在報告中指出,「竊取憑證後,攻擊者可藉此獲得國家關注的話題資訊,透過被盜帳戶傳播虛假資訊,或在未來利用這些憑證對目標用戶或其聯繫人發起攻擊。」
迪爾克斯認為,即使攻擊失敗,此類行動也會對受害者產生「寒蟬效應」。因為,「這向像你和你的同事這樣的人、海外僑民社區成員、人權組織傳遞了一個信息:他們正被監視,正被監控,正處於北京的視線之中。]
對於布朗和她的團隊來說,調查尚未結束。他們將繼續蒐集有關攻擊者的證據,希望能讓公眾,以及「政策制定者、政府領導人和那些真正關心數位、跨國鎮壓或新聞自由等問題的人們」了解情況。
「如果更多人知道這是一起有組織的行動,而不是單一事件,我們就能將更多線索串聯起來,並最終查明真相,」布朗認為,「這不僅有助於我們預防和發現此類事件,還能讓決策者找到追究責任的途徑。」
