2026年4月7日，美國(guó)六大機(jī)構(gòu)——FBI、CISA、NSA、能源部、環(huán)保署、網(wǎng)絡(luò)司令部——聯(lián)合發(fā)布了一份編號(hào)AA26-097A的警報(bào)。這份文件沒(méi)有繞彎子，直接點(diǎn)名一個(gè)代號(hào)CyberAv3ngers的組織，確認(rèn)其正在對(duì)美國(guó)水務(wù)系統(tǒng)、能源設(shè)施和政府部門(mén)的可編程邏輯控制器（PLC，工業(yè)自動(dòng)化核心設(shè)備）進(jìn)行主動(dòng)攻擊。

這不是演習(xí)。警報(bào)明確記錄了"實(shí)際運(yùn)營(yíng)中斷和財(cái)務(wù)損失"。

六大機(jī)構(gòu)同時(shí)出馬，在網(wǎng)絡(luò)安全領(lǐng)域相當(dāng)于六大門(mén)派圍攻光明頂——除非對(duì)手真的值得。更值得玩味的是，這份警報(bào)把CyberAv3ngers的幕后主使直接釘死：伊朗伊斯蘭革命衛(wèi)隊(duì)網(wǎng)絡(luò)電子司令部（IRGC-CEC）。一個(gè)從2020年就開(kāi)始活動(dòng)的組織，用了整整六年時(shí)間，從制造噪音的"鍵盤(pán)俠"蛻變成能掐斷城市供水的國(guó)家級(jí)威脅。

第一階段：用默認(rèn)密碼敲開(kāi)75扇門(mén)

2023年底，CyberAv3ngers完成了一次"教科書(shū)級(jí)"的低成本滲透。他們的目標(biāo)是以色列公司Unitronics生產(chǎn)的Vision系列PLC，全球廣泛用于水務(wù)、制造和樓宇自動(dòng)化。攻擊手法簡(jiǎn)單到近乎侮辱：利用出廠默認(rèn)密碼。

這些設(shè)備被直接暴露在互聯(lián)網(wǎng)上，沒(méi)有任何認(rèn)證網(wǎng)關(guān)保護(hù)。Tenable研究人員追蹤發(fā)現(xiàn)，該組織至少攻陷了75臺(tái)分布于美國(guó)、英國(guó)和愛(ài)爾蘭的PLC。

賓夕法尼亞州Aliquippa市水務(wù)局成了最顯眼的受害者。當(dāng)?shù)鼐用竦墓┧到y(tǒng)控制設(shè)備，就這樣赤裸裸地掛在公網(wǎng)上，像一扇沒(méi)鎖的后門(mén)。愛(ài)爾蘭的另一起攻擊更直接——居民連續(xù)數(shù)天沒(méi)有自來(lái)水可用。

「這不是技術(shù)對(duì)抗，這是配置管理的失敗。」一位工業(yè)控制系統(tǒng)安全研究員如此評(píng)價(jià)。但CyberAv3ngers的聰明之處在于，他們精準(zhǔn)選擇了防御最薄弱的環(huán)節(jié)下手，用最少的資源制造最大的輿論沖擊。

這次行動(dòng)也暴露了關(guān)鍵基礎(chǔ)設(shè)施的普遍軟肋：大量PLC部署時(shí)優(yōu)先考慮功能實(shí)現(xiàn)，而非安全加固。出廠密碼從不修改、設(shè)備直連公網(wǎng)、缺乏網(wǎng)絡(luò)分段——這些"低級(jí)錯(cuò)誤"在工業(yè)現(xiàn)場(chǎng)比比皆是。

第二階段：IOCONTROL，為L(zhǎng)inux工控設(shè)備定制的"瑞士軍刀"

到2024年中，CyberAv3ngers拿出了新東西：IOCONTROL。這是一款針對(duì)Linux物聯(lián)網(wǎng)（IoT）和運(yùn)營(yíng)技術(shù)（OT）環(huán)境定制的惡意軟件平臺(tái)，標(biāo)志著該組織從"借現(xiàn)成的工具"轉(zhuǎn)向"自己造武器"。

IOCONTROL的技術(shù)架構(gòu)值得細(xì)品。它針對(duì)的是工業(yè)場(chǎng)景中大量運(yùn)行的嵌入式Linux系統(tǒng)——這些設(shè)備往往計(jì)算資源有限、安全更新困難，卻承擔(dān)著關(guān)鍵的控制功能。傳統(tǒng)Windows惡意軟件在這里寸步難行，而IOCONTROL填補(bǔ)了這片空白。

惡意軟件的功能設(shè)計(jì)透露出明確的工控攻擊意圖：進(jìn)程隱藏、持久化駐留、命令與控制通信、以及針對(duì)特定工業(yè)協(xié)議的交互能力。

更關(guān)鍵的是，IOCONTROL的出現(xiàn)說(shuō)明CyberAv3ngers已經(jīng)建立了完整的惡意軟件開(kāi)發(fā)生命周期。從需求分析（針對(duì)Linux/OT環(huán)境）、編碼實(shí)現(xiàn)、測(cè)試驗(yàn)證到實(shí)戰(zhàn)部署，這套流程需要穩(wěn)定的團(tuán)隊(duì)、持續(xù)的投入和明確的目標(biāo)導(dǎo)向——絕非臨時(shí)拼湊的hacktivist（黑客行動(dòng)主義者）所能為。

美國(guó)財(cái)政部在2024年2月對(duì)六名IRGC-CEC官員實(shí)施制裁，國(guó)務(wù)院更是開(kāi)出1000萬(wàn)美元懸賞征集該組織情報(bào)。但制裁和懸賞的威懾效果有限：2026年1月，一個(gè)新的Telegram頻道"Cyber4vengers"悄然上線，接替被關(guān)閉的舊頻道。

打地鼠游戲開(kāi)始了。但地鼠越打越多。

第三階段：瞄準(zhǔn)Rockwell，利用9.8分漏洞的"無(wú)補(bǔ)丁攻擊"

2026年初，CyberAv3ngers的攻擊目標(biāo)再次升級(jí)：羅克韋爾自動(dòng)化（Rockwell Automation）的Logix系列控制器。這是工業(yè)自動(dòng)化領(lǐng)域的頂級(jí)品牌，廣泛應(yīng)用于制造業(yè)、能源、交通等關(guān)鍵行業(yè)。

他們選擇的武器是CVE-2021-22681，一個(gè)CVSS評(píng)分9.8（滿分10）的認(rèn)證繞過(guò)漏洞。該漏洞的核心缺陷在于加密密鑰管理：攻擊者只需截獲單個(gè)密鑰，即可無(wú)需有效憑證直接連接受影響的PLC。

羅克韋爾自動(dòng)化已經(jīng)確認(rèn)，該漏洞沒(méi)有軟件補(bǔ)丁。受影響的控制器家族包括CompactLogix、ControlLogix、GuardLogix、DriveLogix和SoftLogix——基本覆蓋了其PLC產(chǎn)品線的主力型號(hào)。

這意味著什么？大量已部署的設(shè)備將長(zhǎng)期處于"無(wú)法修復(fù)"的脆弱狀態(tài)。

工業(yè)控制系統(tǒng)的補(bǔ)丁困境在此暴露無(wú)遺。PLC往往承擔(dān)連續(xù)生產(chǎn)任務(wù)，停機(jī)窗口以分鐘計(jì)算；固件更新可能引入兼容性風(fēng)險(xiǎn)，需要完整的工廠驗(yàn)收測(cè)試；許多老舊設(shè)備早已超出廠商支持周期，卻仍在關(guān)鍵崗位服役。CVE-2021-22681的"無(wú)補(bǔ)丁"狀態(tài)，不過(guò)是這個(gè)系統(tǒng)性問(wèn)題的極端體現(xiàn)。

CyberAv3ngers選擇此時(shí)利用該漏洞，顯示出對(duì)目標(biāo)行業(yè)運(yùn)維節(jié)奏的精準(zhǔn)把握。他們不需要最先進(jìn)的零日漏洞，只需要找到"知道存在但修不了"的老傷口，反復(fù)撕扯。

從單一組織到"病毒式擴(kuò)散"的攻擊方法

2026年4月聯(lián)合警報(bào)中最容易被低估的一條信息：CyberAv3ngers的工控系統(tǒng)攻擊技術(shù)，已經(jīng)擴(kuò)散到約60個(gè)關(guān)聯(lián)的黑客行動(dòng)主義組織。

這不是簡(jiǎn)單的"師徒傳承"或"代碼共享"。在黑客地下經(jīng)濟(jì)中，攻擊方法（TTPs，戰(zhàn)術(shù)、技術(shù)和程序）的擴(kuò)散往往比惡意軟件本身更危險(xiǎn)。一個(gè)組織被取締，其技術(shù)細(xì)節(jié)可能通過(guò)論壇、聊天群組、甚至公開(kāi)的入侵分析報(bào)告?zhèn)鞑ィ黄渌袆?dòng)者快速吸收改造。

IOCONTROL的模塊化設(shè)計(jì)、針對(duì)PLC的特定利用鏈、以及對(duì)OT環(huán)境的深度理解——這些知識(shí)資產(chǎn)正在"去中心化"。

微軟將該組織追蹤為Storm-0784，Dragos稱(chēng)其為Bauxite，Mandiant標(biāo)記為UNC5691。多重命名本身就說(shuō)明，不同情報(bào)來(lái)源從各自視角捕捉到了該組織的不同側(cè)面。而當(dāng)60個(gè)組織都掌握了類(lèi)似的攻擊能力時(shí)，單一組織的取締幾乎失去意義。

伊朗的國(guó)家背景在這里呈現(xiàn)出復(fù)雜的雙面性。一方面，IRGC-CEC的正式關(guān)聯(lián)意味著穩(wěn)定的資源投入、長(zhǎng)期的人員培養(yǎng)和明確的戰(zhàn)略方向；另一方面，這種"國(guó)家贊助"模式也導(dǎo)致了技術(shù)外溢——受訓(xùn)人員流動(dòng)、工具被關(guān)聯(lián)組織借用、甚至故意擴(kuò)散以制造歸因困難。

六大機(jī)構(gòu)的聯(lián)合警報(bào)，某種程度上是對(duì)這種"不可控?cái)U(kuò)散"的正式承認(rèn)。

水務(wù)系統(tǒng)成為重點(diǎn)目標(biāo)并非偶然。相比電網(wǎng)的嚴(yán)格監(jiān)管和能源行業(yè)的安全投入，美國(guó)水務(wù)部門(mén)呈現(xiàn)高度碎片化特征：約5萬(wàn)個(gè)公共供水系統(tǒng)中，絕大多數(shù)為小型地方運(yùn)營(yíng)，IT安全預(yù)算有限，技術(shù)能力參差不齊。攻擊水務(wù)系統(tǒng)既能制造公眾恐慌，又不需要面對(duì)最堅(jiān)固的防御——典型的"軟目標(biāo)"選擇。

Aliquippa事件的象征意義正在于此：一個(gè)賓夕法尼亞州的小城水務(wù)局，成了國(guó)家級(jí)網(wǎng)絡(luò)對(duì)抗的前線。這種"不對(duì)稱(chēng)"本身就是網(wǎng)絡(luò)戰(zhàn)的設(shè)計(jì)特征——用最低層級(jí)的目標(biāo)，撬動(dòng)最高層級(jí)的關(guān)注。

2024年的制裁和懸賞未能阻止Cyber4vengers頻道的出現(xiàn)。2026年的聯(lián)合警報(bào)能否改變游戲規(guī)則？一個(gè)值得注意的細(xì)節(jié)是，警報(bào)發(fā)布時(shí)，該組織的技術(shù)擴(kuò)散已經(jīng)完成。這不是預(yù)防性警告，而是對(duì)既成事實(shí)的確認(rèn)。

當(dāng)60個(gè)組織都學(xué)會(huì)了如何找到暴露的PLC、如何利用無(wú)補(bǔ)丁漏洞、如何定制針對(duì)Linux工控設(shè)備的惡意軟件，防御方的挑戰(zhàn)從"追蹤一個(gè)組織"變成了"加固整個(gè)攻擊面"。而攻擊面，是數(shù)百萬(wàn)臺(tái)部署在全球、多數(shù)從未經(jīng)過(guò)安全審計(jì)的工業(yè)控制器。

下一個(gè)被斷水的城市，會(huì)是在哪里被發(fā)現(xiàn)第一個(gè)暴露的PLC？