文章总结： CheckPoint分析发现Sicarii勒索软件即服务组织实为俄语黑客发起的假旗行动。尽管其伪装成爱国以色列组织并设置地理围栏，但其希伯来语内容含语法错误且地下活动多使用俄语。该软件具备数据外泄及利用Fortinet漏洞能力，建议警惕其伪装并关注相关攻击手段。 综合评分： 85 文章分类： 威胁情报,恶意软件,漏洞分析

俄语黑客伪装以色列组织，Sicarii勒索软件实为假旗行动

FreeBuf

2026年1月16日 18:32 上海

Check Point 安全研究人员发布了对 Sicarii 勒索软件即服务（RaaS）组织的分析报告。该组织于 2025 年底出现，虽然其极力标榜自己是一个爱国的以色列和犹太组织，但证据表明这很可能是一场精心策划的”假旗行动”，旨在掩盖其运营者的真实身份——这些运营者似乎是俄语使用者。

这个以公元 1 世纪犹太刺客命名的组织呈现出令人困惑的形象，与以经济利益为动机的网络犯罪规范截然不同。

Part01

表面上的意识形态伪装

表面上，Sicarii 似乎具有深刻的意识形态。该组织的品牌形象充斥着”希伯来语、历史符号和极端右翼意识形态的引用”。他们甚至在恶意软件中实施了技术性的”地理围栏检查”，以防止其在位于以色列的系统上执行，这一举动旨在表明对国家的忠诚。

Part02

俄语活动的真实身份

然而分析显示，这种身份很可能只是表面功夫。报告指出：”该组织使用的希伯来内容似乎是机器翻译或非母语人士所为，包含语法和语义错误”，这削弱了其真实性声明。

在希伯来语的品牌形象之下隐藏着截然不同的现实。研究人员发现，该组织的”地下在线活动…主要使用俄语进行”，包括其招募合作伙伴的帖子。

Part03

行为模式暴露真相

该组织在 Telegram 和地下论坛上的行为也暴露了其伪装。报告称：”Sicarii 反复强调国家和意识形态身份的方式没有带来明显的运营效益。相反，该行动似乎是在利用表演性的身份信号，叠加在不成熟的勒索软件能力之上。”

运营者甚至将自己与 Qilin 和 Cl0p 等俄罗斯勒索软件巨头相提并论，试图为其避免攻击国内目标的行为辩护。但与这些专业犯罪集团不同，Sicarii 的行动被描述为”集中且非正式的，使用早期阶段的工具”，表明其尚不成熟。

Part04

实际威胁不容忽视

尽管存在戏剧性的欺骗行为，但威胁是真实存在的。Sicarii 具备功能性勒索软件能力，包括”数据外泄、收集系统凭证和网络信息”等标准恶意功能，以及利用 Fortinet 设备漏洞的能力。文件使用 AES-GCM 加密，并附加 .sicarii 扩展名。

Check Point 的分析报告总结认为，应该对 Sicarii 自称的身份持极度怀疑态度。报告警告说：”不应从表面价值上接受 Sicarii 的自我描述”，并指出这种品牌形象很可能是一种”身份操纵或影响导向的信号”策略，而非真实意识形态动机的反映。

参考来源：

Sicarii Ransomware Masquerades as Israeli Hacktivists

Sicarii Ransomware Masquerades as Israeli Hacktivists

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《俄语黑客伪装以色列组织，Sicarii勒索软件实为假旗行动》