《天下》雜誌揭露,過去一年有不明人士冒用總編輯陳一姍及國際調查記者聯盟(ICIJ)名義,接觸台灣媒體、智庫、政治圈人士與公民團體,並誘導下載惡意檔案。資安單位追查研判,此行動疑與中國相關,且屬長期經營的人脈滲透,性質已接近跨國間諜活動,而非單純釣魚詐騙。
跨國間諜以國際調查記者聯盟聯繫 接觸我政媒圈
事件可追溯至2025年5月,當時大罷免運動正熱,獨立媒體《沃草》營運長洪國鈞收到一封署名「Yi-Shan Chen」的採訪邀請信,對方以ICIJ名義聯繫,但信箱為可疑的Gmail免費帳號。洪國鈞察覺異狀後查證,確認並非陳一姍本人。
《天下》後續調查發現,受害或被接觸者並不只一人,對象涵蓋網路媒體、經濟智庫、民進黨籍市議員及立委助理,甚至包括具國安背景人士與海外非營利組織工作者。此外,ICIJ另有2名記者遭冒名,用於接觸維吾爾、西藏、香港及台灣人權團體,連台灣駐外大使也曾收到假冒ICIJ成員的訊息。
資安分析指出,此類攻擊屬典型「社交工程」,並非直接入侵系統,而是先以採訪名義建立信任,再透過Line或電子郵件,引導對方下載所謂「採訪大綱」或點擊文件連結。部分檔案夾帶惡意程式,或偽裝成與真實介面高度相似的Google文件頁面,誘使目標輸入帳號與密碼。資安專家指出,這種手法瞄準的是人與人之間的信任,而非單純技術漏洞。
IP與中國駭客組織有關 意在低成本大規模滲透
《天下》並與加拿大多倫多大學公民實驗室、台灣資安公司TeamT5合作追查,發現相關惡意連結表面看似不同網站,最終卻指向相同主網域「entruhub.com」及同一IP,且該IP曾與鎖定台灣半導體產業攻擊的中國駭客組織「UNK_SparkyCarp」有關。
專家研判,此事件不只是一般釣魚或詐騙,更接近跨國間諜行動。攻擊者往往歷時數月甚至近一年與目標互動,逐步經營關係、建立人脈輪廓,未來可能再以稿費或訪談費等名義引導進一步情報交換。整體顯示,情報蒐集已從傳統政軍單位擴大至媒體、智庫、國會幕僚與公民社會,並呈現「外包化」與「規模化」趨勢,透過私人資安公司、網路輿情或外包團隊進行低成本、大規模滲透。
