中国“红客”如何成为国家级精英网络间谍

2005年夏天，20岁的谭戴林（Tan Dailin）还是四川理工学院的研究生时，就引起了中国人民解放军的注意。

谭戴林是蓬勃发展的“红客”（Honkers）社区的一员——这些90年代末至21世纪初的中国青少年组成了“绿色兵团”、“邪恶八进制”等团体，对被认为不尊重中国的西方目标发起爱国网络攻击。这些攻击技术含量不高——主要是针对美国、台湾和日本实体的网站篡改和拒绝服务攻击——但红客们逐渐提升了技能，谭戴林在博客中记录了自己的黑客行为。在发布关于日本黑客目标的内容后，解放军找上了门。

谭戴林和他的大学朋友们被鼓励参加解放军附属的黑客竞赛并获得第一名。解放军邀请他们参加为期一个月的强化黑客训练营，几周内谭戴林和朋友们就开始构建黑客工具、研究网络渗透技术并进行模拟攻击。

随后的时间线不太明确，但使用黑客代号“Wicked Rose”和“Withered Rose”的谭戴林随后创建了自己的黑客组织——网络破解程序黑客（NCPH）。该组织因赢得黑客竞赛和开发黑客工具而迅速声名鹊起。他们创建了GinWui rootkit，这是中国首批本土远程访问后门之一，专家认为他们在2006年春夏期间使用该工具及其编写的数十个零日漏洞，对美国公司和政府实体进行了一系列“前所未有”的黑客攻击。据前FBI分析师、现专注于中国的SinaCyber咨询公司负责人亚当·科齐（Adam Kozy）称，他们这是代表解放军行事。

谭戴林当时在网上透露，他和团队每月获得约250美元的黑客报酬，但没有说明谁支付报酬或他们攻击了谁。根据前威胁情报公司VeriSign iDefense 2007年的报告，在夏季黑客狂潮之后，报酬增加到每月1000美元。

在某個时间点，谭戴林转换阵营，开始为中国民用情报机构国家安全部（MSS）承包工作，成为其臭名昭著的黑客组织APT 41的一部分。2020年，36岁的谭戴林被美国司法部起诉，指控他和其他 alleged APT 41成员黑客攻击了100多个目标，包括美国政府系统、医疗保健组织和电信公司。

谭戴林加入APT 41的道路并非独有。他只是众多前红客之一，他们从自发的爱国黑客开始职业生涯，最终被国家吸收进其庞大的间谍机构。

关于红客及其在中国APT行动中的关键作用，除了科齐2022年在国会的证词外，记载不多。但本月由瑞士苏黎世联邦理工学院安全研究中心高级网络防御研究员欧金尼奥·贝宁卡萨（Eugenio Benincasa）发布的新报告扩展了科齐的工作，追踪了红客的早期发展以及这群技术娴熟的青年如何成为中国最多产的网络间谍。

“这不仅仅是关于[红客]创建了一种隐含符合国家安全目标的黑客文化，”贝宁卡萨说，“还包括他们建立的个人关系[这些关系]我们今天仍在APT中看到反映。”

早期发展

红客社区大致始于1994年中国接入互联网时，连接全国大学和研究中心的网络让中国学生比全国其他地区更早上网。与美国黑客一样，红客是自学成才的技术爱好者，他们涌入电子公告板（拨号论坛）分享编程和计算机黑客技巧。他们很快组成了像Xfocus、中国鹰派联盟和中国红客联盟这样的团体，并被称为红客或“Honkers”，这个名字源于中文“红”（红色）和“黑克”（黑客的中文术语）。

这些团体自我管理，等级松散，甚至还有由有影响力的成员如台湾黑客林正隆（代号“coolfire”）制定的道德准则。林认为黑客技能应仅用于加强网络防御——学习黑客的方法以挫败他们——并编写了一本有影响力的黑客手册，“旨在提高人们对计算机安全重要性的认识，而不是教人们如何破解密码。”

当时没有模拟环境供黑客培养技能，因此红客经常入侵真实网络。林并不反对这一点——在中国，黑客攻击除政府、国防或科研网络外并不违法——但他发布了一套道德准则，建议黑客避免攻击政府系统或造成永久性损害，并在红客完成黑客攻击后恢复系统原状。

但这些准则很快被抛弃，原因是一系列涉及外国侮辱中国的事件。1998年，印尼爆发针对华裔的暴力浪潮，愤怒的红客团体协调了对印尼政府目标的网站篡改和拒绝服务攻击。次年，台湾总统李登辉提出“两国论”挑战共产党的一个中国原则后，红客篡改了台湾政府网站，附上爱国信息主张统一中国的存在。

2000年，日本会议参与者否认南京大屠杀事实（估计30万中国人在1930年代日本占领该市期间被杀）后，红客分发了300多个日本政府和公司网站列表以及日本官员的电子邮件地址，并促使成员攻击它们。

所谓的爱国网络战争给了红客一个共同事业，锻造了与西方黑客团体不同的独特身份，而红客此前一直效仿西方黑客。西方黑客主要出于好奇心、智力挑战和吹嘘权利，而红客因帮助中国“崛起”的共同事业而团结在一起。用中国鹰派联盟的誓言来说，红客誓言“将中华民族的利益置于一切之上”。

爱国战争让中国红客名声大噪，并激励更多人加入。红客联盟估计膨胀到8万名成员，绿色兵团达到3000人。大多数只是爱好者和冒险寻求者，但一部分人在领导力和黑客技能方面脱颖而出。其中特别有影响力的一个群体，贝宁卡萨称之为“红40”，后来创建或加入了许多中国顶级网络安全和技术公司，并成为国家网络间谍机器的重要组成部分。

贝宁卡萨说，没有证据表明政府指导了爱国黑客行动，但他们的活动符合国家利益，并引起了政府注意。一位退休的解放军海军少将、前中国人民解放军国防大学教授赞扬了他们的爱国主义。公众似乎也支持这一点。一份报告称，84%的中国互联网用户支持爱国黑客。

但在2001年4月，一架中国战斗机在海南沿海空中与美国侦察机相撞引发国际事件后，这种情况开始改变。碰撞导致中国飞行员死亡，并迫使美国飞机降落在海南，中国军方扣押了飞机并扣留机组人员超过一周。该事件激起了美国和中国黑客的民族主义情绪，双方都对对方国家的系统发动了网络攻击。

中国政府对其缺乏对红客的控制感到担忧，担心他们可能成为负担并加剧紧张局势。中国共产党官方报纸将黑客攻击比作“网络恐怖主义”，中国互联网协会负责人也通过中国官方媒体发表声明予以谴责。此前赞扬这些团体的退休解放军海军少将现在警告说，它们对国际关系构成威胁。

红客收到了信息，但随着爱国使命被搁置，这些团体变得不那么团结。出现了领导权冲突以及关于方向和优先事项的分歧——一些人想转向专业领域，创办网络安全公司保卫中国系统免受攻击；其他人想变节出售恶意工具。前者离开加入像百度、阿里巴巴和华为这样的科技公司，或像启明星辰和天融信这样的网络安全公司。一些人成为企业家并创办了自己的安全公司，如绿盟科技和知道创宇，这些公司成为漏洞研究和威胁情报的领导者。然而，一些人转向了网络犯罪。其他人，如谭戴林，成为解放军和国家安全部的合同黑客，或创办了为这些行动服务的公司。

红客招募

据贝宁卡萨称，解放军和国家安全部在2003年左右开始招募红客，但在2006年NCPH和谭戴林的黑客攻击之后，招募变得更加结构化和认真。招募在2008年北京奥运会期间和之后扩大，并可能得益于2009年中国刑法修正案七的通过，该修正案将未经授权入侵任何网络以及分发黑客工具定为刑事犯罪。

黑客论坛开始关闭，一些红客被捕。有传言称谭戴林 among them。据科齐称，谭戴林面临七年半监禁，但尚不清楚他是否服刑。科齐认为他达成了协议并开始为国家安全部工作。2011年，他似乎创办了一家名为Anvisoft的反病毒公司，这可能为他国家安全部的工作提供了掩护。

据贝宁卡萨称，前红客曾晓勇（envymask）和周帅（coldface）也成为解放军和国家安全部的承包商，并参与了APT 41、APT 17和APT 27的行动。一些人通过空壳公司工作，其他人通过合法公司工作，这些公司充当情报机构的中介。

天融信和启明星辰是两家被指控协助这些努力的公司。天融信雇佣了许多前红客，包括中国红客联盟的创始人，天融信的创始人曾在采访中承认解放军指导他的公司。2015年，天融信被链接到国家支持的网络行动，包括美国的Anthem Insurance漏洞。

多年来，中国APT团体使用的许多工具都是由红客构建的，解放军和国家安全部挖掘它们进行漏洞研究和漏洞开发。1999年，绿色兵团成员黄鑫（glacier）发布了远程访问特洛伊木马“冰川”。次年，他和来自XFocus的杨勇（coolc）发布了X-Scan，这是一种扫描网络漏洞的工具，至今仍被中国黑客使用。2003年，红客联盟的两名成员发布了HTRAN，这是一种通过代理计算机重路由流量以隐藏攻击者位置的工具，已被中国APT使用。据信谭戴林和NCPH成员周继冰（whg）在2008年创建了PlugX后门，已被10多个中国APT使用。据贝宁卡萨称，周进一步开发了它，生产了ShadowPad，已被APT 41和其他组织使用。

多年来，泄密和美国对前红客的起诉暴露了他们 alleged 的红客后间谍生涯，以及中国利用营利性公司进行国家黑客行动。后者包括由前红客创办的安洵信息（i-Soon）和诚迈科技（Integrity Tech）。

前绿色兵团和0x557成员吴海波（shutdown）于2010年创办了安洵信息。去年，有人泄露了安洵信息的内部文件和聊天记录，暴露了公司代表国家安全部和公安部进行的间谍工作。今年3月，八名安洵信息员工和两名公安部官员被美国起诉，指控他们针对美国政府机构、亚洲外交部、异见人士和媒体进行黑客行动。

2010年由前绿色兵团成员蔡晶晶（cbird）创办的诚迈科技今年因与全球基础设施黑客攻击有关而受到美国制裁。

今年，美国还起诉了前绿色兵团成员周和吴进行国家黑客行动，并因周与APT 27的联系而制裁他。据称，除了从事国家支持的黑客攻击外，他还运营数据泄露服务，将部分被盗数据出售给客户，包括情报机构。

这与早期美国黑客类似，他们也转型成为网络安全公司创始人，并被国家安全局和中央情报局招募或由承包商雇佣为美国行动执行黑客操作。但科齐指出，与美国不同，中国全社会情报机构迫使一些中国公民和公司与国家合作进行间谍活动。

“我认为中国从一开始就认为，‘我们可以将[红客]收编为国家利益服务。’”科齐说。“而且……因为这些年轻人很多一开始就有爱国倾向，他们某种程度上被征召服役，被告知，‘嘿，你要为国家做很多真正的好事。’此外，他们中的许多人开始意识到这样做可以致富。”