伊朗1個部門操控3個黑客身份：4年"人格分裂"表演被揭穿

你看到的"獨立黑客組織"，可能只是同一批人換了個馬甲。當3個名字完全不同的團伙用同一套工具、同一批服務器、同一套話術攻擊不同國家時，背后藏著什么設計？

DomainTools的最新調查給出了答案：Homeland Justice、Karma/KarmaBelow80、Handala——這3個被長期視為獨立"黑客行動主義"團體的身份，實為伊朗情報與安全部（MOIS）統一指揮的同一套作戰系統。

一場持續4年的"人格分裂"表演

這場操作的起點是2022年。一個自稱"Homeland Justice"的團體對阿爾巴尼亞政府發動攻擊，手法在當時就顯露出不尋常的組織度。

伊朗國家行為者在公開宣稱負責前，已潛伏于阿爾巴尼亞政府系統約14個月。這段時間里，他們完成了敏感文件竊取、破壞性工具部署，并為后續公開行動儲備了素材。

攻擊公開后，該團體將技術入侵與高調的信息發布結合，把一次網絡攻擊轉化為具有顯著地緣政治影響的"影響力事件"。這不是臨時起意的黑客行為，而是有劇本、有節奏、有預留空間的系統工程。

DomainTools分析師追蹤發現，同一威脅行為者后續切換至"Karma"身份，再演變為"KarmaBelow80"，于2023年底將目標轉向以色列機構。

關鍵證據在于：底層工具、基礎設施、攻擊方法在這些"rebranded campaigns"（品牌重塑行動）中保持完全一致。共享的域名模式、統一使用Telegram作為命令與控制通信渠道、重復出現的技術行為特征——這些線索讓DomainTools以高置信度評估，所有表面獨立的團體實為MOIS直接指揮的連通系統。

2024年至2026年，該行動以"Handala"名義繼續演進。這一身份借用知名巴勒斯坦卡通人物命名，重心轉向信息作戰，包括精心策劃的數據泄露、針對記者與異見人士的定向騷擾，以及與以色列有關聯的個人。

2026年3月，美國司法部宣布查封4個關聯域名：Handala-Hack.to、Karmabelow80.org、Justicehomeland.org、Handala-Redwanted.to。這些域名被用于發布竊取數據、宣稱攻擊責任，以及對特定具名個人煽動暴力。

正方：多身份策略是精妙的運營設計

從戰術層面看，MOIS的這套"人格分裂"架構具備多重功能優勢。

第一，風險隔離。單一身份暴露不會導致整個網絡崩潰。Homeland Justice在阿爾巴尼亞行動后高調現身，必然引發追蹤；此時切換至Karma身份，可讓新目標以色列機構從零開始建立防御認知，而攻擊者已攜帶成熟工具鏈和作戰經驗入場。

第二，敘事適配。不同身份承載不同地緣政治符號。Homeland Justice的命名指向阿爾巴尼亞國內政治語境；Karma/KarmaBelow80帶有技術黑客亞文化色彩；Handala則直接嵌入巴勒斯坦抵抗敘事。這種符號靈活性讓同一套行動系統能夠精準對接不同地區的輿論土壤。

第三，能力偽裝。將國家行為拆解為多個"獨立黑客團體"，可降低目標的防御等級。面對疑似國家級對手，政府和企業會啟動最高響應機制；面對"黑客行動主義者"，處置優先級和資源配置可能下調——這正是MOIS利用的認知縫隙。

第四，持續壓力。多身份輪換創造了"打不完"的感知效果。即使某個身份被制裁、被查封域名，新身份可立即承接其功能，維持對目標群體的持續信息環境操控。

安全研究人員將該整體威脅行為者追蹤為"Void Manticore"，DomainTools報告中也以"MOIST GRASSHOPPER"指代。這一命名體系本身即說明：分析社區已識別其統一性，但公開敘事中長期被迫以分散身份討論。

反方：多身份是資源冗余，暴露反而加速溯源

另一種視角認為，這種多身份架構存在結構性缺陷，MOIS可能低估了現代威脅情報的關聯分析能力。

域名基礎設施的重復使用是明顯破綻。美國司法部一次行動即可同時查封4個關聯域名，說明這些身份在底層資產上高度糾纏。對于具備全域視野的情報機構而言，多身份非但未增加追蹤難度，反而提供了更多關聯節點——每個身份都是進入整個網絡的潛在入口。

技術行為的一致性構成了"指紋效應"。攻擊者更換名稱卻無法更換其編碼習慣、工具偏好、通信協議選擇，這些深層行為模式比表面身份更難偽裝。DomainTools正是憑借這些"不變量"完成了跨身份關聯。

敘事邏輯的內在張力同樣可被利用。當Handala聲稱代表巴勒斯坦抵抗力量時，其攻擊目標與時機卻與伊朗國家利益高度同步——這種"巧合"本身即成為歸因線索。多身份策略要求每個身份維持獨立的敘事一致性，這在長期運營中成本極高，且任何敘事漂移都可能暴露指揮鏈的單一來源。

更根本的矛盾在于：多身份設計的優勢依賴于目標的"分散認知"，即不同受害者各自面對不同身份、無法共享威脅情報。但在2026年的全球安全生態中，這種信息孤島已被打破。阿爾巴尼亞、以色列、美國的情報機構與私營安全公司形成協作網絡，使得MOIS的多身份架構反而成為"多點觸網"的脆弱性來源。

深層追問：國家黑客的"身份經濟學"

這場案例揭示了一個被低估的維度：網絡空間中的"身份"已成為可消耗、可迭代的作戰資源。

傳統軍事情報強調隱蔽與持久，但MOIS的模式展示了另一種邏輯——主動制造可見的"黑客身份"，將其作為信息戰的傳播節點。Homeland Justice、Karma、Handala不僅是攻擊工具，更是內容品牌；其Telegram頻道、泄露網站、公開聲明構成了一套平行于暗網技術基礎設施的"明網影響力基礎設施"。

這種"身份即彈藥"的思維，模糊了網絡攻擊與政治宣傳的傳統邊界。當美國司法部查封4個域名時，其打擊目標不僅是技術節點，更是信息發布的渠道資產。MOIS的應對策略也印證了這一點：域名可換、身份可換，但"制造影響力事件"的核心任務不變。

對于防御方而言，挑戰在于重新校準歸因標準。當多個"獨立團體"共享工具、基礎設施、甚至部分人員時，區分"同一行動者的不同身份"與"不同行動者的協作網絡"變得極為困難。DomainTools的高置信度評估依賴于長期追蹤與多維度關聯，但這種分析能力并非所有防御者都具備。

更值得觀察的是國際反應模式。阿爾巴尼亞在2022年攻擊后于2023年9月與伊朗斷絕外交關系；美國財政部于2023年9月對MOIS及相關人員實施制裁；2026年3月的司法部行動則進入司法執法層面。這種從外交到金融再到法律的升級路徑，反映了國家支持網絡攻擊歸因后的標準應對劇本，但其威懾效果仍待檢驗——MOIS的Handala身份在域名查封后仍在運營。

最終，這個案例提出的核心問題是：當1個國家部門可以低成本生成無限數量的"黑客身份"時，基于"團體歸因"的防御策略是否正在失效？答案或許在于，防御者需要將分析單元從"身份"下沉至更底層的技術行為模式與基礎設施關聯——這正是DomainTools此次調查的方法論價值所在。