文章总结： 2025年四大亲俄组织借Telegram高调公开366起工业控制系统初始访问事件，以截图视频炫耀而非勒索破坏，集中能源医疗食品楼宇等民生领域，欧洲成数字前线，展示即武器制造心理威慑，凸显ICS风险已升维为社会韧性挑战 综合评分： 92 文章分类： 威胁情报,工控安全,地缘政治,安全意识,安全运营

安帝科技|2025年工业控制系统网络安全事件洞察

原创

安帝科技

安帝Andisec

2026年1月7日 09:30 北京

2025年，四个专门针对工业控制系统的威胁组织——Z-ALLIANCE、Infrastructure Destruction Squad、NoName（及其关联分支）和SECT0R16——在暗网论坛、Telegram平台上共披露了4452起安全事件，其中获取目标控制系统初始访问权限（Initial Access）的有366起。我们以这366起事件为样本，分析研究发现，这些行动并非以勒索或数据窃取为目的，而是通过高调发布系统界面截图、操纵视频、地理位置及远程连接凭证，实施公开炫耀与战略威慑。受害目标高度集中于能源水务、医疗设备、食品冷链和楼宇自动化等民生关键基础设施，意大利、美国、乌克兰、德国和印度为主要受害国家。该趋势反映出攻击者正将控制系统作为地缘政治施压与心理战的工具，而Telegram已成为其“数字威慑”的核心传播平台，凸显ICS安全已从技术风险演变为社会韧性挑战。

一、

主要发现

主要发现1：地缘政治冲突直接驱动攻击，安全事件主要集中于欧洲（尤其乌克兰、波兰），凸显其作为数字威慑前线的战略价值。

主要发现2：控制系统的攻击止步于初始访问权限展示，通过系统截图、操纵视频与挑衅配文制造社会恐慌并施压目标机构。

主要发现3：民生领域的控制系统（除电力、能源、通信、水行业外，医疗设备、食品、冷链物流、空调等）因安全薄弱成为攻击目标，其“可被控制”事实本身即构成社会风险。

主要发现4：Telegram成为“数字战报”主要发布平台，通过高频、多语言、带地理标签的传播实现“攻击—曝光—威慑”闭环效应。

主要发现5：尽管控制系统权限攻击仅占全年网络事件的约0.9%，其对关键基础设施的潜在破坏性不容小视，凸显战略优先级。

二、

统计分析

在所遴选的366起控制系统网络安全事件中，攻击者均仅止步于宣称获得远程访问权限（如通过RDP、VNC、Web HMI或TeamViewer）以及操纵视频展示，未观察到勒索软件部署、数据加密或物理破坏等后续行动，表明其意图集中于能力展示而非直接破坏或变现。从传播路径看，99.2%（363起）的事件首发于Telegram，包括公开频道（如 t.me/Z_ALLIANCE）和需邀请进入的私密群组（如 t.me/c/2847753588），其余3起仅为其他平台对Telegram内容的二次转发。这一高度集中的披露模式，不仅印证了Telegram作为此类活动核心传播枢纽的地位，也为基于统一来源开展受害国家、行业及威胁行为者维度的分类统计提供了可靠的数据基础。

1. 威胁行为者分布

| 组织 | 事件数 | 占比 | | — | — | — | | Z-ALLIANCE/z-pentest | 207 | 56.56% | | Infrastructure Destruction Squad | 95 | 25.96% | | NoName（含协作分支） | 53 | 14.48% | | Sector16 | 11 | 3.01% |

所有事件均带有组织Logo、口号或专属标签（如 #Z_ALLIANCE_OPS），具有强烈身份标识。

2.受害国家情况

| 国家/地区 | 事件数 | 占比 | | — | — | — | | 意大利 | 73 | 20% | | 美国 | 53 | 14.48% | | 乌克兰 | 43 | 11.75% | | 德国 | 36 | 9.84% | | 波兰 | 29 | 7.92% | | 印度 | 26 | 7.10% | | 韩国 | 24 | 6.56% | | 中国台湾 | 20 | 5.46% | | 立陶宛 | 12 | 3.28% | | 西班牙 | 11 | 3.01% | | 其他（30+国） | 39 | 10.66% |

欧洲（意、德、波、乌、西、立陶宛）合计204起（55.7%），亚洲（印、韩、台）合计70起（19.13%）。

3.受害行业分布

| 行业 | 事件数 | 占比 | 典型系统 | | — | — | — | — | | 能源与公用事业 | 101 | 27.60% | 水处理PLC、变电站HMI、热力站BMS | | 制造业 | 53 | 22.40% | 工业机器人、装配线控制器 | | 医疗健康 | 43 | 15.57% | CT/MRI设备控制终端、制药温控 | | 食品与冷链 | 36 | 12.30% | 冷库温控、乳品灌装线 | | 楼宇自动化（BMS） | 29 | 8.74% | HVAC、智能照明、电梯控制 | | 交通运输与仓储 | 26 | 7.38% | 港口AGV、机场行李系统 | | 金融基础设施及其它 | 24 | 6.01% | ATM后台、加油站控制面板 |

民生相关领域（能源+医疗+食品+楼宇）合计235起，占比达64.2%。

三、

攻击组织概况

本报告遴选的四个组织可谓“臭名昭著”。2025年12月19日，美国司法部宣布采取行动打击两个俄罗斯国家支持的网络犯罪黑客组织，指的就是z-pentest和NoName057(16）。Infrastructure Destruction Squad更是高调宣称支持俄中，重点攻击美国关键基础设施。SECTOR 16组织因其专门攻击工业控制系统而被多家网络安全公司关注。

1. Z-Pentest Alliance组织

Z-Pentest Alliance是一个成立于2023年10月的亲俄网络攻击组织，其核心目标是通过渗透西方关键基础设施的操作控制系统（OT），削弱工业与能源系统的稳定性，以强化俄罗斯的影响力。该组织以高度匿名化运作为特征，成员通过Telegram频道（如t.me/zpentestalliance）公开炫耀攻击成果，宣称已获取水处理厂、油气管道及能源设施的远程访问权限（如RDP/VNC），但不涉及勒索或数据破坏，仅以能力展示实施心理威慑。其攻击集中于能源（油气）与水处理行业，受害者多为欧洲国家（意大利、乌克兰、德国等），攻击手法依赖ICS/SCADA系统漏洞及暗网情报。Z-Pentest Alliance 通过Telegram构建“攻击－炫耀－施压”闭环，将控制系统安全威胁从技术层面升维至地缘政治博弈，凸显工业控制系统已成为数字时代新型战略威慑工具。

2. Infrastructure Destruction Squad组织

Infrastructure Destruction Squad（基础设施破坏小队）是一个宣称支持俄罗斯和中国的网络攻击组织，其核心行动聚焦于欧美国家的关键基础设施系统（如能源、医疗、物流及交通控制网络）。该组织通过Telegram平台（如t.me/c/2847753588）高频发布初始访问凭证截图（含RDP/VNC界面、地理位置及系统标识），以炫耀控制能力实施心理威慑，但不涉及勒索、数据加密或物理破坏。2025年，其披露的95起事件中，78%针对美国、意大利、乌克兰等欧美目标，攻击手法集中于暴露的ICS远程接口（如水处理PLC、医疗设备HMI）。该组织将控制系统作为地缘政治工具，通过Telegram构建“攻击—曝光—施压”闭环，凸显工业控制系统安全已深度卷入大国博弈，成为新型数字威慑的核心战场。

3.NoName057(16）组织

NoName057(16）是一支成立于2022年3月的亲俄黑客组织，核心目标是通过网络攻击压制“反俄内容”，主要针对乌克兰、美国及欧洲政府机构、媒体和企业发起行动。该组织以Telegram频道（t.me/nnm05716english，1093名订阅者）为活动主阵地，高频发布攻击声明、目标嘲讽及技术教程，曾开发开源DDoS工具DDOSIA用于实施网络瘫痪攻击。其标志性行动包括：2022年针对乌克兰媒体（如Zaxid、Fakty UA）的DDoS攻击；2023年G20峰会期间协同其他组织发起“OpIndia”行动，实施超2450次攻击（覆盖政府、金融、能源领域）；近年逐步将目标扩展至印度教育机构、电信公司及制造业。该组织通过Telegram持续传播“数字威慑”内容，将网络攻击深度嵌入地缘政治博弈，凸显其作为亲俄势力“网络先锋”的战略定位。

4.Sector 16组织

Sector 16 是一个自 2025 年初开始活跃的新兴网络攻击组织，被多家安全机构评估为与俄罗斯背景存在关联。该组织以美国及西方国家关键基础设施为主要目标，重点攻击油气与水务行业的工业控制系统（ICS/SCADA），其行动呈现出明显的地缘政治动机与示威式威胁特征。

Sector 16 采用联盟化运作模式，与亲俄黑客组织Z-Pentest和OverFlame 协同活动。其中，Z-Pentest自2024年起持续针对西方能源和水务系统发动攻击。双方曾联合入侵美国得克萨斯州某油气设施的SCADA 系统，并公开视频展示对泵站、储罐液位及告警系统的实时访问能力。此后，Sector 16又单独宣称入侵另一家美国油气生产企业，进一步强化其技术示威效果。

尽管相关攻击未造成实际生产中断，但研究机构认为，其核心目的在于展示对工业系统的渗透能力、制造心理威慑并传递政治信号。该组织使用SCADA协议工具（如 Modbus、DNP3）、漏洞扫描与利用框架，并通过 Telegram等平台进行宣传

（据查，该组织TG频道自2025年6月起失活）。总体来看，Sector 16属于以关键基础设施渗透为核心、兼具影响行动属性的混合型黑客组织。

四、

核心洞察

2025年控制系统攻击的本质是“数字威慑”而非“经济牟利”，这些事件极少涉及凭证售卖或勒索谈判，而是以公开威胁、能力炫耀、政治施压为主要目的。

洞察1：“展示即武器”——初始访问权限本身即为攻击终点

• 攻击者不追求进一步横向移动或数据窃取，而是立即在Telegram发布截图、视频（含系统界面、地理位置、IP地址）；
• 配文常含挑衅语句，如：“We are inside your water plant. Who’s next?” “Your hospital CT is ours. Sleep well.”“Ukraine’s energy grid? Already breached.”
• 目的：制造恐慌、削弱公众对关键设施的信任、向政府/企业施压。

洞察2：地缘政治驱动明显，欧洲成“数字前线”

• Z-ALLIANCE对乌克兰（42起）、波兰（29起）、立陶宛（12起）的集中攻击，与俄乌冲突背景高度相关；
• Infrastructure Destruction Squad在印度、韩国、台湾的活动，则可能反映区域紧张局势下的“非对称威慑”；明确表示支持俄罗斯和中国。
• 这些组织不隐藏身份，反而强化品牌，表明其行动具有准军事或国家支持色彩。

洞察3：民生控制系统成为“软肋中的软肋”

• 攻击者刻意选择直接影响公众生活的系统（如泳池水质、冷库温度、CT扫描仪）；
• 即使未实际篡改参数，“可被控制”的事实本身已构成社会风险；
• 此类系统通常由非IT人员运维，安全意识薄弱，远程访问接口长期暴露。

洞察4：Telegram成为“数字战报”首选发布平台

• 不同于传统暗网市场用于交易，此处Telegram是宣传战、心理战的工具；
• 高频更新（Z-ALLIANCE日均1–2起）、多语言发布、带地理标签，旨在最大化传播效果；
• 平台难以有效监管，形成“攻击—曝光—威慑”闭环。即使因违规遭平台封禁，但能很快另行注册再开张。

洞察5：控制系统权限攻击事件样本量看似偏小，但影响巨大

• 2025年监测到的暗网安全事件问题为36880起，其中访问权限攻击事件为4486起。据此估算控制系统访问权限攻击事件366起仅占年度安全事件总数的0.99%，占年度访问权限攻击事件的8.15%。
• 四个主要攻击组织所有的攻击事件样本为4452起，据此估算366起控制系统攻击事件也仅占其8%。

五、

结论及建议

2025年暗网监测到的全球披露的355起控制系统安全事件（数据为不完全统计，仅涵盖可明确归因且公开披露的案例）揭示，攻击者已将初始访问权限的公开炫耀转化为“数字威慑”核心手段。此类事件100%聚焦于获取控制系统访问权限（如RDP、VNC、Web HMI），不涉及勒索或物理破坏，仅通过Telegram发布系统界面截图或操纵视频与挑衅配文（如“Your hospital CT is ours”），旨在制造社会恐慌、削弱公众对民生关键设施的信任。需高度警惕的是，这些事件直指楼宇自动化、医疗设备、食品冷链、能源供应等“物理世界的‘最后一公里’”——一旦失守，将引发不可估量的现实灾难。尽管披露的366起仅占四个攻击组织攻击事件总数的8%，且实际规模远超统计（未被发现或证实的事件难以估量），但其影响远超比例；虽事件主体多发生于欧美，但安全风险的共性要求我国必须提高警惕，引以为戒。特提几点建议如下。

一是厘清底数，筑牢网络隔离、分区防线：全面清理控制系统远程接口暴露面，落实网络分区分级管理措施，强制禁用远程桌面截图功能、隐藏系统标识，从源头阻断攻击者“炫耀素材”来源。

二是加强监测，构建国家级威胁监测网：依托国家网络安全平台，实时监测暗网论坛、Telegram频道等渠道（如设置“SCADA access”“PLC RDP”+民生行业/地域等关键词），实现监测、预警、响应闭环。

三是提升安全意识，推动相关民生领域网络安全教育培训：加强能源、医疗、食品、楼宇等民生领域安全培训、网络演练，全面夯实系统韧性根基。

四是加强应急处置，完善网络安全应急响应机制：发生安全事件后，能够第一时间启动应急机制，如研判报告、核查事实、评估影响后果、发布权威澄清、实施溯源取证等，及时切断攻击者舆论传播链。

唯有以预防性思维筑牢防线，方能守护民生运行的“最后一公里”，确保国家社会安全与人民福祉不受威胁。

备注

1、研究样本数据源于暗网监测数据。故此为不完全统计，仅涵盖可明确宣称且公开披露的案例。这四个主要攻击组织所有的攻击事件样本为4452起，除去DDoS、Alert、数据泄露等几类外，我们以初始访问权限类攻击为研究数据样本。

2、受害者行业属性已突破工业控制系统这一范畴，如楼宇、医疗、食品、空调等民生行业的控制系统也成为受害者。

往期精选

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec 安帝科技《安帝科技|2025年工业控制系统网络安全事件洞察》