2025年的網絡犯罪格局因俄烏戰爭引發的地緣政治動蕩發生劇變。Intel 471最新報告詳細披露，親俄黑客組織持續對烏克蘭、北約盟國及西方關鍵基礎設施發動數字攻擊——往往通過DDoS攻擊、網站篡改和數據泄露等手段直接回應政治事件。

報告指出："2022年爆發的俄烏戰爭對網絡犯罪格局產生了深遠持久的影響，導致旨在干預沖突的黑客活動激增。"

政治緊張局勢催化網絡攻擊

2025年多數黑客活動源于政治緊張局勢升級，特別是美國特朗普政府對烏克蘭支持態度的搖擺，以及歐洲軍事援助的加碼。作為回應，親俄組織強化了網絡攻勢。

典型案例發生在2025年5月，立陶宛外長凱斯圖蒂斯·布德里斯批評俄羅斯拖延戰術并呼吁加強制裁后，七支親俄組織隨即發起#Op立陶宛行動，包括：

• Dark Storm Team
• Mr Hamza
• NoName057(16)（又名NNM057(16)）
• Russian Bears
• ServerKillers
• Z-PENTEST ALLIANCE

Intel 471證實："ServerKillers組織瞄準立陶宛金融領域，Dark Storm Team則攻擊政府機構。"

新生代黑客組織崛起

隨著曾主導黑客活動的KillNet組織式微（其創始人KillMilk轉向牟利性犯罪），NoName057(16)已成為頭號親俄黑客組織。該組織慣用近期軍事行動、政治表態或援助聲明作為攻擊由頭，以此吸引關注并招募同盟。

值得注意的是，NoName057(16)運營著基于Go語言開發的眾包DDoS平臺DDoSia，參與者通過攻擊活動賺取加密貨幣獎勵，系統通過唯一client_id追蹤貢獻。

2025年3月新成立的"俄羅斯IT軍"采用數據竊取、DDoS攻擊和內應招募組合拳打擊烏克蘭數字基礎設施。該組織通過Telegram頻道t.me/itarmyofrussianews以"招募英才報效祖國"為口號擴張勢力，使用地下論壇流通的PanicBotnet等DDoS工具，并開發t.me/itarmyrussia_bot機器人收集情報、選定目標。

另一新興組織TwoNet專注于攻擊西班牙、烏克蘭和英國的航空、政府及科技媒體電信領域，其使用的MegaMedusa Machine工具由RipperSec開發并在GitHub開源。Telegram記錄顯示其與BLOCKWEB、КиберVойска等組織存在協作。

工控系統面臨現實威脅

盡管多數攻擊仍停留在DDoS等基礎層面，但Intel 471警告稱，針對工業控制系統（ICS）的冒險行動正在增加。令人不安的案例是Z-Pentest組織宣稱攻破美國阿肯色州水處理設施，迫使系統切換至人工操作模式。

報告強調："此類攻擊可能產生超比例影響，特別是許多西方國家已意識到關鍵基礎設施長期存在的安全隱患。"此前CARR（重生俄羅斯網軍）就聲稱入侵過得克薩斯州和歐洲的工控系統，加劇了人們對黑客表演與現實后果重疊的擔憂。

政府背景疑云

多方證據暗示俄羅斯政府可能暗中協調這些行動：

• 美國對CARR成員尤利婭·潘克拉托娃和丹尼斯·德格佳連科實施制裁
• 情報顯示CARR與GRU關聯組織APT44（又名Sandworm）存在交集
• 開源情報機構Molfar曝光同時涉足NoName057(16)和CARR的個人信息

Intel 471總結稱："支持俄羅斯的黑客生態具有流動性，雖然多數攻擊技術粗糙，但這些組織確實能招募到具備工控系統入侵能力的專業人員。"