潜伏十年，她亲手端掉了欧美最隐秘的黑客组织

事情发生在一个春天。

2024 年 4 月，一名使用“Waifu”和“Judische”作为网名的神秘人士，开始在 Telegram 与 Discord 频道发布针对网络安全研究员艾莉森・尼克松（Allison Nixon）的死亡威胁。这名用户写道，艾莉森・尼克松很快会被灌满汽油的轮胎烧死。他还表示，脑震荡是他最偏好的脑死亡方式，而这将会发生在艾莉森・尼克松身上——这些表述均带有冒犯意味。

事情愈演愈烈。不久之后，甚至有人开始发布由 AI 生成的尼克松的不雅照片。

这些匿名账号将尼克松作为目标，是因为她已经成为一股难以对抗的力量。她在网络调查公司Unit 221B担任首席研究官，这家公司的名称来自福尔摩斯的住所。她长期追踪网络罪犯，并协助将其逮捕。

多年来，她潜伏在各类网络聊天频道，或使用化名与作案者直接交流，同时整理对方不慎泄露的个人信息与犯罪线索。这些工作帮助她将多名网络罪犯绳之以法，其中尤其包括一批自称The Com的无政府主义黑客。

但 The Com 成员不只参与黑客活动。部分成员还会对追踪他们的研究员实施线下暴力。这类行为包括砸窗袭击与报假警诱骗特警突袭。后者是一种危险的恶作剧，行为人谎称目标家中发生谋杀或人质事件，促使特警持械包围目标住所。The Com 分支团体764的成员被指控实施更严重的暴力行为，包括虐待动物、持刀伤人与校园枪击，或是煽动 The Com 内外人员实施此类犯罪。

尼克松在十多年前就开始追踪该群体成员。当时其他研究员与执法人员大多忽视这群人，原因是他们年纪尚小，许多仍处于青少年阶段。

由于长期的关注，尼克松积累了大量识别并揭露The Com 成员身份的经验。联邦调查局特工瑞安・布罗根（Ryan Brogan）表示，自 2011 年与尼克松合作以来，尼克松已协助他与同事识别并逮捕二十多名该团体成员。他认为，尼克松揭露嫌疑人身份的能力无可比拟。

他表示，一旦被他和尼克松盯上，落网只是时间问题。无论行为人使用多少网络匿名手段与操作技巧，最终都会被识破。尽管尼克松从事这项工作已超过十年，她仍无法理解为何 Waifu/Judische 账号背后的人会突然对她发出威胁。

她曾接受媒体采访介绍 The Com，最近一次是在《60 分钟》节目。但她并未公开自己揭露成员身份与工作的细节，因此，这次敌意来得十分突然。她过去曾因 Waifu 吹嘘的犯罪行为关注过这个账号。但威胁出现时，Waifu 已不在她的追踪范围内，因为她当时正在调查其他目标。此时尼克松决定揭露 Waifu/Judische 与其他发出死亡威胁者的真实身份，并以他们承认的罪名将其绳之以法。

她表示，在对方发出死亡威胁之前，她对他们并不感兴趣。

Com 的起源

大多数人从未听说过 The Com，但该团体的影响力与威胁正在不断扩大。

这是一个由松散团体组成的网络社群，成员主要是北美与欧洲英语地区的青少年和二十多岁的青年人，他们也被看作是网络犯罪青年运动的一部分。

通常情况下，国际法与国际规范，以及对报复行为的担忧，会限制国家在网络行动中的力度。但奉行无政府主义的 The Com 并不受此类约束。

过去十年间，该团体的犯罪活动不断升级。早期只是通过分布式拒绝服务攻击瘫痪网站，后来发展为SIM 卡劫持攻击、加密货币盗窃、勒索软件攻击与企业数据窃取，这些犯罪行为影响到 AT&T、Microsoft、Uber 等多家机构；The Com 成员还参与多种形式的性敲诈，逼迫受害者自残或拍摄色情内容；甚至，其影响还延伸至线下，涉及绑架、殴打与其他暴力行为。

一位长期研究网络犯罪的研究员因工作原因要求匿名。他表示，The Com 在网络领域的威胁程度与俄罗斯相当，背后原因十分特殊。他指出，俄罗斯与朝鲜在网络行动中都会受到约束。国际法、国际规范与对报复的担忧，都会限制国家行为的力度。但无政府主义的 The Com 并不受这些限制。他表示，这是一个相当严重的威胁，但人们往往因为对方只是一群孩子而忽视问题。然而他们造成的影响不容忽视。

（来源：麻省理工科技评论）

布罗根表示，这类行为造成的经济损失会在短时间内达到惊人规模。

The Com 成员没有固定的聚集平台。他们分散在多个网络论坛、Telegram 与 Discord 频道。该团体延续了过去二十年中一系列黑客与亚文化社群的发展模式。这些团体在网络上兴起并获得恶名，随后因核心成员被捕或其他原因衰落消失。尼克松表示，这些团体的动机与活动各不相同，但都源自相同的早期网络环境。The Com 的源头可以追溯到 The Scene。该群体最初由各类盗版团体组成，主要从事游戏、音乐与电影盗版活动。

2011 年尼克松开始关注 The Scene 时，其成员主要劫持游戏账号、发动DDoS 攻击并提供攻击服务。DDoS 攻击通过僵尸网络流量压垮服务器或计算机，阻碍正常访问。Booter 服务是一种可租用工具，任何人都能使用它对指定目标发动 DDoS 攻击。这些成员会获得部分收益，但主要目的是博取关注与名声。

（来源丨麻省理工科技评论）

这一情况在 2018 年左右发生改变。当时加密货币价格上涨，The Com 作为分支团体出现，并最终取代了 The Scene。成员开始以经济利益为目标，包括窃取加密货币、数据与实施敲诈。

两年后的疫情期间，The Com 成员数量大幅增长。尼克松认为，这一现象源于社交隔离与青少年被迫转为线上学习。她同时认为，经济环境与社交问题也推动了团体规模扩张。她表示，许多成员因技能不足或行为问题无法正常就业。部分被捕成员家庭环境不稳定，难以适应学校生活，部分还表现出精神健康问题。The Com 为成员提供归属感、支持与情绪宣泄渠道。2018 年之后，该团体还为部分人提供了获取金钱的途径。

该社群衍生出多个松散小组，包括 Star Fraud、ShinyHunters、Scattered Spider、Lapsus$ 等。这些小组合作实施系列犯罪活动。法庭文件显示，他们通常以知名加密货币从业者与科技巨头为目标，通过盗窃与敲诈获利数百万美元。

这名网络犯罪研究员表示，即便在以利益为目的的行动中，掌控感、权力与炫耀资本仍是重要动机，这也是成员选择攻击大型目标的部分原因。他表示，行动确实能带来经济收益，同时也是在宣告自己可以影响那些自认为无法被撼动的对象。尼克松表示，事实上部分 The Com 成员受强烈自我意识驱动，这类动机最终会与经济利益目标产生冲突。她表示，他们的经济计划常常因为自负而失败，而这一现象也成为她工作的突破口。

黑客猎手

尼克松留着黑色直发，佩戴细框眼镜，身形偏瘦，气质斯文。初次见面时，她甚至会被误认为青少年。她讲述工作时语速很快，仿佛脑中信息急于输出；她在向他人解释 The Com 威胁时，会表现出强烈的紧迫感；当她追踪的对象被捕时，她不会掩饰自己的喜悦。

2011 年，尼克松刚开始调查 The Com 前身社群时，她在安全公司 SecureWorks 的安全运营中心上夜班。该中心负责处理客户网络的工单与安全警报。尼克松渴望进入公司反威胁团队，该团队主要调查并发布来自俄罗斯的国家级黑客组织威胁情报报告。她当时没有相关人脉与经验，无法进入调查岗位，但尼克松拥有强烈的好奇心，这份特质为她开辟了道路。

威胁团队关注黑客对客户网络的影响，包括入侵方式与窃取内容。尼克松则更关注行为人的动机与性格特征。她认为犯罪黑客一定有聚集的网络论坛，于是搜索黑客论坛，进入了名为 Hack Forums 的网站。她表示，过程非常简单直接。

她惊讶地发现，成员会在论坛上公开讨论自己的犯罪行为。她联系 SecureWorks 威胁团队的一名成员，询问对方是否了解该网站，对方认为这只是“脚本小子”聚集的地方——这一说法用来指代技术水平较低的黑客。

当时，许多网络安全专业人士将注意力从网络犯罪转向国家级黑客行动。这类行动技术更复杂，也更受关注。但尼克松喜欢选择与他人不同的方向，同事的轻视反而增强了她对这些论坛的兴趣。SecureWorks 的另外两名同事也抱有同样兴趣。三人在轮班空闲时间研究这些论坛，他们重点调查运营 DDoS 攻击服务的人员。

尼克松喜欢这些论坛的原因是，这对她这样的新手十分友好。威胁情报团队需要获得受害者网络的高级权限才能调查入侵事件。但尼克松可以在公开论坛获取所有需要的信息。这些黑客似乎认为没有人在关注他们，因此，他们经常在操作安全上出现失误，泄露居住城市、就读学校或曾经工作的地点等个人信息。聊天中暴露的细节与其他信息结合，可以帮助揭露匿名账号背后的真实身份。她表示，自己很惊讶识别对方身份竟然相对容易。

论坛中充斥着幼稚的吹嘘与琐碎争吵，但她并不在意。她表示，很多人不愿意做阅读聊天记录的工作。她知道这并不常见，也许自己的思维方式确实有些特别，才愿意投入这项工作。她拥有一项特殊能力，可以在杂乱信息中梳理内容而不受干扰。

尼克松很快发现，并非所有成员都是技术低下的脚本小子。她表示，部分成员展现出真正的创造力与强大技术能力。但由于这些技术被用于劫持游戏账号等无足轻重的目标，而非攻击银行账户，研究员与执法部门并未重视他们。尼克松开始追踪这些人，她怀疑对方最终会将技术用于更重要的目标。这一直觉后来被证明是正确的。当他们转向重要目标时，尼克松已经积累了大量相关信息。

她持续研究 DDoS 攻击两年，直到 2013 年出现转折点。长期追踪网络犯罪的网络安全记者布莱恩・克雷布斯（Brian Krebs）遭遇特警报假警袭击。

安全社区约十余人与克雷布斯合作，试图揭露作案者身份。尼克松也受邀参与其中，克雷布斯将碎片化线索交给她调查。最终团队识别出作案者，尽管对方两年后才被逮捕。当她受邀与克雷布斯及其他调查人员共进晚餐时，她意识到自己找到了志同道合的群体。她表示，那是一段非常棒的时刻。她发现身边有一群志同道合的人，他们愿意提供帮助，并且纯粹出于热爱投入这项工作。

一步领先

成人影片演员为尼克松带来了下一个重要研究方向。这一方向再次体现出她的能力，她能在 The Com 成员与犯罪趋势成为重大威胁前，就提前发现其苗头。

2018 年，有人劫持部分成人影片演员的社交媒体账号，利用这些账号向大量粉丝发布加密货币诈骗信息。尼克松起初无法判断黑客劫持账号的方式。她向这些演员承诺，只要对方提供黑客控制账号期间收发的私信记录，她就帮助对方找回账号。这些记录将她引向一个论坛，论坛成员正在讨论窃取账号的方法。黑客诱骗部分演员泄露其他演员的手机号，随后使用 SIM 卡劫持技术重置其他演员的社交媒体账号密码，将账号原主人锁定在外。SIM 卡劫持是指诈骗者将受害者手机号绑定到自己控制的 SIM 卡与手机上。

原本发给受害者的通话与短信会转移到诈骗者设备。这包括网站在账号登录或密码修改时发送给用户的一次性安全验证码。在涉及演员的部分案件中，黑客以合理理由诱导电信员工执行 SIM 卡更换。其他案件中，黑客则通过贿赂员工完成操作。黑客随后修改演员社交媒体账号密码，将原主人锁定在外，并利用账号推广加密货币诈骗。

SIM 卡劫持是一种强力技术，可以用于劫持并掏空加密货币与银行账户。因此尼克松很惊讶，诈骗者竟将其用于收益较低的骗局。但当时 SIM 卡劫持很少用于金融诈骗。与尼克松早年在 Hack Forums 看到的黑客一样，劫持演员账号的人似乎没有意识到这项技术的真正威力。尼克松怀疑这一情况会改变，SIM 卡劫持很快会成为重大问题，她因此调整了研究方向。如其所料，不久之后，诈骗者也转向了更具利益的目标。

尼克松这种提前预判的能力贯穿了她的整个职业生涯。多次出现这样的情况。一名黑客或一个团体因在小型行动中使用新颖攻击方式引起她注意。她会开始追踪对方的网络发帖与聊天记录，相信对方最终会用这项技术实施重大行动。事实往往如她所料。

当这些黑客随后通过高调或具有影响力的行动登上新闻头条时，其他人会觉得他们凭空出现，研究员与执法部门会手忙脚乱地调查其身份。但尼克松早已整理好相关档案，部分案件中甚至已经揭露其真实身份。

Lizard Squad就是这样一个案例。该团体在 2014 与 2015 年通过一系列高调 DDoS 行动登上头条，但尼克松与当时的同事早已对其成员进行个体追踪。联邦调查局因此寻求他们的协助，以识别成员身份。

她表示，这些年轻黑客会持续作案直到被捕，但整个过程往往需要数年时间。因此她职业生涯的重要一部分，就是持有这些尚未被处理的信息。

在 Lizard Squad 活跃期间，尼克松开始开发工具，抓取并记录黑客的网络交流内容。多年之后，她才将这套思路用于抓取 The Com 的聊天室与论坛信息，这些频道包含大量数据。在黑客生涯早期，这些数据看似无用，但当执法部门后续展开调查时，它们会变得至关重要。但这些内容随时可能被 The Com 成员删除，或在执法部门查封网站与聊天频道时消失。

数年来，她抓取并保存自己调查的所有聊天室内容。直到 2020 年初加入 Unit 221B，她才获得机会抓取 The Com 的 Telegram 与 Discord 频道内容。她将所有数据整合到可搜索平台，供其他研究员与执法部门使用。公司聘请两名前黑客协助搭建抓取工具与基础设施，最终形成社区驱动、邀请制平台eWitness。平台最初只包含尼克松加入 Unit 221B 后收集的数据，后来其他用户也上传从 The Com 社交空间抓取的内容，其中部分信息已不在公开论坛存在。

联邦调查局的布罗根表示，这是一个极具价值的工具，尼克松本人的贡献让它更加重要。其他安全公司也会抓取网络犯罪空间内容，但很少对外分享。布罗根表示，尼克松工作方式的独特之处在于，她会与聊天环境中的行为人互动，获取常规方式无法得到的信息。

她加入 Unit 221B 后启动的内容保存项目时机恰到好处。项目开展恰逢疫情、The Com 新成员激增，以及两个令人不安的分支CVLT与 764 出现。她在这些团体刚出现时就抓取了聊天记录。执法部门逮捕团体头目并控制聊天服务器后，相关内容便无法公开获取。

CVLT 发音同 cult，据报道成立于 2019 年左右，主要从事性敲诈与儿童色情内容相关活动。764 从 CVLT 衍生而来，由得克萨斯州一名 15 岁少年布拉德利・卡登海德（Bradley Cadenhead）主导，团体名称来自他邮编的前几位数字。该团体以极端主义与暴力为核心。

2021 年，基于对这些团体的观察，尼克松将注意力转向 The Com 成员实施的性敲诈活动。

他们实施的性敲诈源于十年前开始的一种名为粉丝签名的活动。黑客以曝光个人信息威胁受害者，通常是年轻女性，逼迫对方在纸上写下黑客网名。黑客会将照片用作自己网络账号的头像，作为一种战利品。最终部分人开始勒索受害者，将黑客网名写在脸部、胸部或生殖部位。CVLT 出现后，这类行为进一步升级，受害者被勒索将 The Com 成员名字刻在皮肤上，或拍摄、直播色情行为。

尼克松表示，疫情期间，大量 SIM 卡劫持者转向儿童色情内容与虐待性性敲诈。她厌恶追踪这类恐怖活动，但也看到了将其用于正向目的的机会。长期以来，她对法官因金融诈骗看似不具暴力性质而从轻判决感到不满。她认为，如果能将这些人与性敲诈关联，就有机会让法院作出更严厉判决。她因此开始重点调查这类犯罪。

此时，Waifu 仍不在她的追踪范围内。但情况即将改变。

最终结局

2024 年 4 月，Waifu 与 The Com 其他成员参与一起涉及 AT&T 用户通话记录的大型黑客事件。此后，尼克松成为 Waifu 的攻击目标。

Waifu 所在团体入侵了数据存储服务公司Snowflake的数十个云账号。其中一名客户在 Snowflake 账号中存储了超过 500 亿条 AT&T 无线用户通话记录。

随后，他们变得更加鲁莽。他们据称从 AT&T 敲诈近40 万美元，承诺删除窃取的通话记录。随后他们再次敲诈，威胁若不支付更多资金，就泄露声称已删除的记录。并且，他们在帖子中标记了联邦调查局。

尼克松表示：“他们的行为好像在求着被调查似的。”

当时，Snowflake 入侵与 AT&T 数据盗窃事件登上头条。但尼克松不知道自己号码在被盗记录中，也不知道 Waifu/Judische 是事件主要嫌疑人。因此当对方开始在网络上嘲讽并威胁她时，她感到十分困惑。

（来源：麻省理工科技评论）

5 月与 6 月的几周内，一种模式逐渐显现。Waifu 或其同伙会发布针对尼克松的威胁，随后在网络发帖邀请她对话。她现在认为，对方当时相信她正在协助执法部门调查 Snowflake 入侵事件，希望通过对话套取执法部门掌握的信息。但尼克松当时尚未协助联邦调查局调查对方。直到她因威胁事件开始调查 Waifu，才意识到对方涉嫌参与 Snowflake 黑客事件。

尼克松与其他研究员认为，黑客可能通过其他方式获取探员手机号。对方可能使用反向查询工具，识别探员拨打或接听的号码机主，并在其中找到尼克松的号码。此后他们开始对尼克松进行骚扰。

但这并非她第一次调查 Waifu。Waifu 在 2019 年就引起她注意。当时他吹嘘自己诬陷另一名 The Com 成员制造炸弹诈弹威胁，随后又提及参与 SIM 卡劫持行动。他给尼克松留下了深刻印象。他明显具备技术能力，但尼克松认为他经常表现得幼稚、冲动且情绪不稳定。他在与其他成员互动时极度渴望关注。他吹嘘自己不需要睡眠，依靠药物通宵进行黑客活动。他在保护个人信息方面也有些鲁莽。他在私信中向另一名研究员表示，自己擅长操作安全，绝不会被捕。但他同时透露自己住在加拿大，这一信息后来被证实属实。

尼克松揭露 Waifu 身份的流程，与她识别 The Com 成员的通用方法一致。她会围绕目标及其所有网络交流账号建立大范围调查圈，随后分析互动关系，缩小到与目标联系最紧密的人员。部分最佳线索来自目标的敌人。她可以从网络冲突中获取对方身份、性格与活动的大量信息。她表示，一般来说，敌人与前女友是收集嫌疑人情报的最佳来源，她非常重视这类信息。

在她开展调查的同时，Waifu 及其团体联系其他安全研究员，试图获取尼克松及其调查内容的信息。他们还试图向研究员释放虚假线索，提及加拿大其他可能被误认为是 Waifu 的网络罪犯名字。尼克松从未见过网络罪犯使用这类反情报手段。

在这些误导与混乱信息中，尼克松与一名合作研究员多次咨询并交叉核对其他研究员的线索，确保在提交联邦调查局前确认正确身份。

到 7 月，她与研究员确认了目标身份。康纳・赖利・莫卡（Connor Riley Moucka），25 岁，高中辍学，与祖父住在安大略省。10 月 30 日，加拿大皇家骑警包围莫卡住所并将其逮捕。

加拿大法庭文件显示，逮捕前 9 天的 10 月 21 日下午，一名加拿大便衣警察以借口前往莫卡住所，秘密拍摄照片并与美国当局提供的图像比对。警察敲门按铃，莫卡衣衫不整地开门，表示对方吵醒了自己。他向警察自称亚历克斯。莫卡有时使用别名亚历山大・安东宁・莫卡（Alexander Antonin Moucka）。警察确认开门者就是美国寻求的目标后离开。此时 Waifu 在网络上对尼克松的攻击升级，误导行为也更加频繁。尼克松认为，上门调查吓到了对方。

尼克松不愿透露揭露莫卡身份的具体方法，只表示对方出现了失误。她表示，不想通过披露失误方式，教会这类人如何避免被捕。

加拿大针对莫卡的法庭文件显示，除对尼克松的威胁外，他还被指控在网络发布多条暴力内容。部分内容包括幻想成为连环杀手，或向密歇根州与俄亥俄州的黑人大量邮寄硝酸钠药片。另一条内容中，其账号表示要获取枪支杀害加拿大人，并实施引警自杀行为。

起诉文件显示，莫卡的网络别名包括 Waifu、Judische 及另外两个。检察官表示，他与同伙从 Snowflake 账号窃取数据，并从至少三名受害者处敲诈至少 250 万美元。莫卡面临近 24 项指控，包括串谋、非法入侵计算机、敲诈与电信欺诈。他表示不认罪，并于去年 7 月被引渡至美国。他的审判定于今年 10 月。但黑客案件通常以认罪协议结案，而非正式庭审。

尼克松与同事向当局提交线索后，当局数月后才逮捕莫卡。但他在 Snowflake 事件中的一名同伙，名为卡梅伦・约翰・瓦格纽斯（Cameron John Wagenius），网名 Kiberphant0m 的美军士兵被捕速度更快。

2024 年 11 月 10 日，尼克松及其团队发现瓦格纽斯的一处失误，这一失误帮助识别了他的身份。12 月 20 日，瓦格纽斯被捕。他已经对出售或试图出售机密通话记录相关的两项指控认罪，并将于今年 3 月宣判。

如今，尼克松仍在调查 The Com 成员的性敲诈活动。但她表示，Waifu 团伙的剩余成员仍在对她进行嘲讽与威胁。她表示，这些人仍在继续无理行为，但会被逐个击破。她会一直坚持下去，直到对方所有人都被处理。