2026-03-04 10:05:45 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文深度剖析威胁行为者Kazu在半年内横扫超20国的数据勒索活动。该组织采用双重勒索策略，重点攻击政府与医疗行业，利用已知漏洞、供应链攻击窃取TB级数据。文章揭示了其高度组织化的商业模式与攻击路径，并建议机构加固暴露面、实施数据加密、强化供应链安全审查及演练应急预案以应对此类严重威胁。 综合评分： 87 文章分类： 威胁情报,数据泄露,解决方案,应急响应

cover_image

【威胁行为者深度报道-第四篇】揭秘数据勒索黑手Kazu：：横扫超20国、肆虐6个月，TB级数据泄露背后的“双重勒索”产业链

原创

匿名匿名

夯磅棱

2026年3月3日 09:25 北京

在网络安全的世界里，一些威胁行为者如流星般短暂而耀眼，在极短时间内造成巨大破坏后便隐匿无踪。2025年下半年，一个名为 “Kazu” 的幽灵开始在暗网中浮现。它不像传统的APT组织那样长期潜伏，而是以闪电般的速度和外科手术式的精准，在全球范围内掀起了一场大规模、持续性的数据泄露与勒索狂潮。

从炎热的科威特夏日到新年伊始的美国加州，在超过6个月的时间里，Kazu的攻击警报在超过20个国家的关键部门接连拉响。从泰国皇家陆军征兵系统到美国医疗SaaS平台，从阿联酋迪拜港务局到阿根廷国家教育部，其足迹所至，留下的皆是TB级的敏感数据泄露和受损机构的焦头烂额。据不完全统计，仅公开披露的泄露数据总量已远超数十TB，涉及个人、医疗、军事、政府记录数千万条。

这个高效而冷酷的网络犯罪实体，并非依靠不可捉摸的“零日漏洞”，而是娴熟地运用着情报收集、凭证窃取和成熟的商业勒索模式，构建了一条完整的“双重勒索”黑色产业链。本文将深入追踪Kazu的活动轨迹，解析其战术、技术与流程，并为身处潜在威胁下的组织机构提供关键的防御视角。

01 威胁画像：高度组织化的“短期收割机”

名称与活动周期：Kazu。其公开活动可明确追溯至2025年6月25日（哥伦比亚海军招募门户攻击），并持续活跃至2026年1月26日（美国zHealthEHR攻击），活跃周期超过6个月，远非“短期爆发”所能概括。其间攻击几乎未有间断，显示出其背后存在一个资源充足、分工明确的运营团队。
主要活动平台：Kazu深谙地下生态的传播之道，其信息发布与交易网络覆盖多个主流暗网论坛（如BreachForums、Exploit.in）、加密即时通讯工具（Telegram）以及传统的.onion暗网站点。这种多渠道、可冗余的发布策略，既是为了最大化曝光施压，也确保了其在某个平台被摧毁后能迅速转移。
威胁等级与综合评价：基于其攻击的全球性、目标的关键性、数据的敏感性以及勒索的商业成熟度，Kazu应被评定为 “严重”级别的威胁。它本质上是一个高度专业化的数据勒索即服务（RaaS）组织或犯罪团伙，其核心商业模式在于：快速识别并攻破高价值目标 → 窃取核心数据 → 实施双重勒索（加密+数据泄露威胁）→ 在暗网拍卖或出售访问权限。其行动不以炫技为目的，一切以经济利益和胁迫效果最大化为导向。

02 攻击模式演进：从“撒网”到“精攻”的勒索艺术

Kazu的攻击行为可以清晰地归纳为三个类别：数据泄露、勒索攻击、权限售卖。这二者并非孤立，而是环环相扣的勒索“组合拳”。

核心战术：“双重勒索”成为标配。Kazu几乎在所有针对企业和机构的攻击中，都采用了标准的“双重勒索”策略。首先入侵并窃取大量敏感数据，随后联系受害者索要赎金，威胁若不付款将公开数据。在多个案例（如新西兰ManageMyHealth）中，其还会动态调整赎金金额和支付截止日期，对受害者进行心理施压。
入侵手段：聚焦于“薄弱环节”。分析其攻击路径，主要依赖以下几种成本低、成功率高的方式：
利用公开漏洞与配置错误：大量政府门户、医疗平台因使用存在已知漏洞的组件或服务器配置不当（如暴露在公网的NAS、数据库）而被攻破。例如对科威特公共工程部（MPW）12TB数据的窃取很可能源于此类问题。
供应链攻击：攻击医疗服务或软件提供商，以“撬动”其下游大量客户。例如攻击美国的Doctor Alliance和zHealthEHR，前者是医疗文档管理服务商，后者是脊骨神经科云HIS提供商，一次攻击即可威胁成百上千家诊所。
凭证窃取与钓鱼：在zHealthEHR事件中，安全研究人员发现攻击与信息窃取恶意软件活动相关联，表明其利用窃取到的员工凭证进行初始访问已成为重要手段。
商业化变现：Kazu的帖子充满赤裸的商业气息。数据被明码标价（如泰国征兵数据标价350美元），服务器访问权限被当作商品拍卖（如xx某私有NAS访问权，数据量4.7TB）。其支付方式通常要求加密货币，并在帖子中留下Session等加密联系方式，整个流程如同一个地下“客服中心”。

03 目标选择逻辑：精准狙击“数据富矿”与“社会命脉”

Kazu的目标地图清晰地揭示了其战略意图：追求数据变现的最大化和攻击影响的最大化。

行业分布：高度集中于四大高危领域

| 攻击行业 | 占比与典型案例 | 攻击动机分析 | | — | — | — | | 政府与公共部门 | 最高，约40% 。从哥伦比亚国家公务员委员会、墨西哥多个州政府门户，到尼泊尔、阿根廷教育部，直至泰国国家警察局。 | 数据价值高（海量公民PII），社会关注度高，支付赎金以“掩盖”事件的意愿可能更强。 | | 医疗健康 | 核心目标，约35% 。包括医院（秘鲁陆军医院）、医疗平台（肯尼亚M-TIBA）、医保机构（印度Vidal Health）、以及最新的医疗SaaS商（美国zHealthEHR）。 | 数据极度敏感（健康记录受严格法律保护），业务连续性要求极高（关乎生命），支付赎金压力巨大。 | | 关键基础设施与公益 | 新增焦点，约15% 。阿联酋迪拜港务局（PCFC）、阿联酋红新月会、科威特公共工程部。 | 攻击此类目标能造成远超经济层面的社会和政治影响，可能带有一定的“示威”意图。 | | 军事与国防相关 | 高风险目标，约10% 。泰国陆军征兵门户、哥伦比亚海军招募门户、玻利维亚军事社保机构。 | 军事数据具有极高的战略价值和敏感性，泄露可能直接威胁国家安全。 |
地理分布：无差别全球攻击，重点区域突出。Kazu的攻击完全无视地域边界，从南美洲的哥伦比亚、阿根廷，到亚洲的泰国、xx、科威特，再到非洲的肯尼亚、毛里塔尼亚，欧洲的英国，以及北美和大洋洲的美国、新西兰，其全球打击范围令人震惊。其中，拉丁美洲（尤其是哥伦比亚、墨西哥） 和亚洲是其攻击最为密集的区域。

04 活动时间线解析：从试探到猖獗的升级之路

Kazu的活动并非一成不变，其攻击规模、目标层级和勒索策略在半年内呈现出明显的演变轨迹。

第一阶段：初始渗透与模式建立（2025年6月-8月） 此阶段攻击开始活跃，目标多为政府就业、教育门户（如哥伦比亚、尼泊尔、阿根廷教育部），以及军事附属机构。攻击已展现出对海量数据（TB级）的窃取能力，但勒索的公开声量相对较小。

第二阶段：全面扩张与高调勒索（2025年9月-12月） 攻击频率和嚣张程度急剧上升。目标升级为国家关键基础设施（阿联酋、科威特）、核心政府部门（斯里兰卡卫生部、泰国警察局）以及大型医疗健康平台（肯尼亚M-TIBA，2.15TB；英国CT Dent，7TB）。 “双重勒索”策略被广泛应用，并在暗网论坛频繁发帖制造舆论压力。

第三阶段：战略聚焦与模式创新（2025年12月-2026年1月） 在持续攻击政府目标（哥伦比亚、沙特）的同时，出现了标志性的战略转向：开始重点攻击医疗行业的SaaS/软件服务提供商。对新西兰ManageMyHealth和美国zHealthEHR的攻击，意味着其意识到攻击一个云服务商能劫持其背后成千上万的终端客户，勒索的杠杆效应和潜在收益呈指数级增长。

典型案例深度剖析：

案例一：阿联酋迪拜港务局（PCFC）1.9TB数据泄露（2025.09.10）
事件：攻击全球重要贸易枢纽的关键运营机构。泄露数据可能包含港口运营、物流、客户商业信息等。
分析：这标志着Kazu不再满足于窃取个人身份信息，开始瞄准能对全球经济节点造成实质性干扰的目标，攻击的破坏维度上升至国家经济安全层面。
案例二：美国zHealthEHR医疗SaaS平台攻击（2026.01.26）
事件：通过窃取员工凭证，入侵为众多诊所提供云HIS服务的平台，窃取120万条患者临床记录，并勒索50万美元。
分析：这是供应链攻击的极致体现。它暴露了医疗数字化进程中一个致命弱点：诊所自身安全达标，却因所依赖的云服务商被攻破而全面沦陷。此次事件为全球医疗软件供应链安全敲响了最刺耳的警钟。

05 威胁总结与应对指南

综合威胁评估： Kazu代表了一种日益主流且危害极大的网络犯罪形态。其威胁的“严重”性体现在：持续时间长、攻击范围广、目标选择准、商业模式成熟、社会破坏力强。它不仅造成直接的经济损失，更在持续侵蚀社会对数字政府、数字医疗和关键基础设施的信任基础。

防护建议升级：面对Kazu这类威胁，传统防护已不足够，组织机构需建立纵深、动态的防御体系：

立即加固暴露面：对所有面向互联网的资产（尤其是NAS、数据库、远程访问服务）进行严格清点和安全配置审计，及时修补所有已知漏洞，强制实施多因素认证。
聚焦数据安全核心：对核心敏感数据实施分类分级管理与加密。确保即使数据被窃，也无法被直接利用，从根本上降低勒索杠杆。
防范供应链风险：特别是医疗、政府机构，必须对关键第三方服务商（尤其是云服务、IT管理服务商）进行严格的安全能力审查与持续监督，将供应链安全要求纳入合同。
加强端点与凭证保护：部署终端检测与响应（EDR）解决方案，开展钓鱼演练，防范信息窃取恶意软件，保护员工凭证不被窃取。
演练勒索软件专项应急预案：制定并定期演练涵盖数据泄露的完整事件响应计划，明确决策流程、沟通话术、法律与公关应对策略，确保在危机时刻能有序响应。

Kazu的故事，远未到终章。它的出现和“成功”，犹如一份黑暗世界的“商业计划书”，必将吸引更多的模仿者和竞争者。在这场与阴影的赛跑中，唯一的出路是正视威胁的进化，将安全从“成本”转变为“免疫系统”，用更前瞻的策略和更坚实的技术，守护数字时代的每一道信任基石。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夯磅棱匿名匿名《【威胁行为者深度报道-第四篇】揭秘数据勒索黑手Kazu：：横扫超20国、肆虐6个月，TB级数据泄露背后的“双重勒索”产业链》