文章总结： 该文档分析了2026年3月上旬印尼遭受的172起网络攻击事件，数量位居全球第二。事件以数据泄露为主，占比66.9%，主要行为体为INDRAMAYUCHAOSSYSTEM。受害者集中于政府机构和教育部门，大量公民个人信息和登录凭证外泄。报告指出防御短板和攻击者集中发力是主要原因，建议加强身份认证管理、监测与应急响应机制以应对威胁。 综合评分： 86 文章分类： 威胁情报,数据泄露,网络安全,安全建设

印尼这是要抢美伊战争的风头？为何近十日密集被爆安全事件？

原创

网空闲话 网空闲话

网空闲话plus

2026年3月10日 12:15 北京

观察2026年3月1日至3月10日（截止北京时间11：00）期间的暗网监测数据，发现印度尼西亚政府及相关公共机构所遭受的各类网络威胁数据异军突起。统计显示，在短短10天内，印尼共记录到172起网络攻击事件，受害主体高度集中于政府机构——从中央部委到省级政府，从县级行政单位到下属事业单位，几乎覆盖印尼行政体系的各个层级。这一数字究竟意味着什么？横向对比更能说明问题：在同一监测周期内，印尼遭受的网络攻击数量位列全球第二，仅次于地缘冲突持续的中东国家以色列（437起），远超美国（149起）、印度（102起）等网络大国。一个并非处于战争状态、也非全球科技中心的东南亚国家，为何会在短期内成为网络攻击的“热点”？是技术防御存在系统性短板？是有组织行为体的集中发力？还是地缘政治的暗流涌动？下面从事件类型、攻击主体、受害分布等多个维度展开分析，试图呈现这一异常现象背后的图景。

一. 总体统计概览

在统计周期内（2026-03-01 00：00至2026-03-10 11：00），共记录到172起针对印尼政府及相关机构的网络攻击事件。其中：

• 数据泄露（Data Breach）：115起，占总事件数的 66.9%
• DDoS攻击（DDoS Attack）：39起，占总事件数的 22.7%
• 网页篡改（Defacement）：15起，占总事件数的 8.7%
• 初始访问（Initial Access）：2起，占总事件数的 1.2%
• 恶意软件（Malware）：1起，占总事件数的 0.6%

数据泄露事件占据主导地位，表明当前针对印尼政府的网络攻击以窃取敏感信息为主要目的。DDoS攻击次之，网页篡改等其他类型虽数量较少，但仍对部分机构造成影响。

二. 事件类型分析

2.1 数据泄露（Data Breach）

数据泄露事件共115起，涉及政府行政、教育、金融、执法等多个领域。泄露内容主要包括：

• 登录凭证：如邮箱、用户名、密码（多起事件由“INDRAMAYU CHAOS SYSTEM”声称）
• 公民个人数据：如NIK（身份证号）、KK（家庭卡号）、地址、电话号码、出生日期等
• 内部系统数据：如员工信息、学生数据、车辆登记信息、社会援助数据等

其中，多起大规模泄露事件涉及数十万至百万级公民记录，例如DKI Jakarta人口数据泄露（53.9万条）、East Kalimantan社会服务数据泄露（97.8万条）等。

2.2 DDoS攻击

DDoS攻击事件共39起，主要目标包括政府门户网站、教育机构网站及新闻媒体平台。攻击者多通过Telegram频道发布攻击声明，并附上Check-Host等工具的可用性证明。攻击行为体以“VinzXmodz”最为活跃，其发起了约25起DDoS攻击，目标涵盖教育、电商、政府等领域。

2.3 网页篡改

网页篡改事件共15起，涉及教育机构、政府下属单位及宗教法庭等，多为象征性攻击，旨在宣示攻击能力或政治立场。“Hax.or”是该类攻击的主要行为体，共发起8起篡改事件。

2.4 其他类型

• 初始访问：2起，攻击者声称获得某制造企业及某画廊系统的访问权限。
• 恶意软件：1起，涉及印尼公民身份证及相关证书数据的售卖。

三. 时间分布分析

从时间维度来看，攻击事件在3月9日达到高峰，当日事件数量约占总数四成（约70起）。3月8日、3月7日分别有约30起和25起，其余日期事件数量相对较少。具体分布如下：

• 3月10日：4起（均为数据泄露）
• 3月9日：约70起（数据泄露为主，含少量DDoS）
• 3月8日：约30起（DDoS与数据泄露交织）
• 3月7日：约25起（DDoS与数据泄露）
• 3月6日：约15起（含数据泄露、DDoS、恶意软件）
• 3月5日：约10起（DDoS与数据泄露）
• 3月4日：约5起（DDoS与数据泄露）
• 3月3日：约2起（数据泄露与网页篡改）
• 3月2日：约6起（DDoS与网页篡改）
• 3月1日：约5起（数据泄露与网页篡改）

3月9日的攻击高峰主要由“INDRAMAYU CHAOS SYSTEM”集中发布大量政府机构登录凭证所驱动。

四. 主要威胁行为体分析

4.1 INDRAMAYU CHAOS SYSTEM

该行为体在统计周期内极为活跃，共发起约85起数据泄露事件，占总数据泄露事件的74%。其主要攻击方式为泄露政府机构及部委的登录凭证，影响范围涵盖中央政府、省级政府、县级政府及多个部委（如Kemendagri、Kemenkeu、Kemendikbud、Kemenag等）。其发布的Telegram频道成为数据泄露的主要传播渠道。

4.2 VinzXmodz

该行为体主要发起DDoS攻击，共记录到约25起事件，占DDoS攻击总数的64%。目标包括教育机构（如SMAN 2 Ngawi）、电商平台（如Gamefinity）、政府门户（如DPRD Bekasi）等。其攻击方式多为公开Telegram频道中发布攻击声明并提供可用性证明。

4.3 Hax.or

该行为体主要进行网页篡改，共发起8起事件，占网页篡改总数的53%。攻击目标多为教育机构和政府下属单位，如IKIP PGRI Bojonegoro、Politeknik Pertanian Negeri Samarinda等。

4.4 其他行为体

包括XyzStresserr（DDoS攻击）、BABAYO EROR SYSTEM（DDoS与网页篡改）、YanXploit（数据泄露）、echo_party（数据泄露）等，攻击类型多样，影响范围有限但手法各异。

五 受害组织分析

5.1 政府行政机构

受害最严重的类别，共计约105起事件，涵盖中央政府、省级政府、县级政府及各类行政机构。典型受害者包括：

• 省级政府：如South Kalimantan、West Java、Banten、North Kalimantan等，涉及地方政府门户及内部系统
• 县级政府：如Karawang、Bandung、Gresik、Bantul、Indramayu等，多为人口较多或经济活跃地区
• 部委机构：如Kemendagri（内政部）、Kemenkeu（财政部）、Kemendikbud（教育文化部）、Kemenag（宗教部）、Kemenhan（国防部）等核心部门

5.2 教育与学术机构

共记录到约25起事件，涉及大学、理工学院、职业学校及中小学。泄露内容包括学生个人信息、教职工数据、学术系统凭证等。典型受害者包括Universitas Kristen Immanuel Yogyakarta、SMAN 8 Bekasi、Politeknik Kesehatan Surakarta等。

5.3 公共部门与执法机构

包括DPR RI（国会）、DPD RI（地方代表理事会）、KPK（反腐败委员会）、Kejaksaan（检察院）、Ombudsman、LPS（存款保险机构）等，共计约10起事件。

5.4 其他行业

包括金融、媒体、零售、物流、博彩等，共计约12起事件。如SiCepat（物流）、IndiHome（电信）、Liputan86（媒体）等。

六. 受害者站点分析

在172起事件中，有158起提供了明确的受害者域名（victim_site）。其中：

• .go.id 域名：占比最高，共计约102个，为主要攻击目标，如kalselprov.go.id（省政府）、bappenas.go.id（部委）、kemdikbud.go.id（教育部）、kemenkeu.go.id（财政部）等
• .sch.id 域名：多用于中小学教育机构，共约18个，如sman8kotabekasi.sch.id、smpn4kotabekasi.sch.id
• .ac.id 域名：用于高等教育机构，共约12个，如ukrim.ac.id、poltekkes-solo.ac.id
• .co.id / .id / .com：用于商业、媒体及其他机构，共约26个，如liputan86.com、garengtopup.com、telkomsel.com

.go.id域名的高占比表明攻击者重点关注政府官方门户，尤其是地方政府的登录入口。

七. 趋势与研判

1. 印尼为何成为攻击“重灾区”？ 在全球范围内，印尼以172起事件位列受攻击国家第二位，仅次于地缘冲突持续的中东国家以色列（437起），远超美国（149起）、印度（102起）等国。这一异常现象背后，可能反映以下因素的叠加作用：

• 攻击者集中发力：“INDRAMAYU CHAOS SYSTEM”等行为体在短期内对印尼政府系统发起系统性、大规模的凭证泄露攻击，形成攻击波次。单一行为体贡献了约半数事件，这种集中度在其他国家较为少见。
• 防御短板暴露：印尼各级政府门户网站大量使用.go.id域名，且多存在弱口令、无多因素认证等安全隐患，成为攻击者眼中的“易攻目标”。数据表明，攻击并未针对特定高级系统，而是大面积扫描、批量获取低防护门槛的登录入口。
• 人口数据黑市需求：印尼拥有庞大人口基数（全球第四），公民身份数据（NIK、KK等）在黑市具有较高交易价值，吸引攻击者持续渗透。多起泄露事件明确指向人口数据的批量获取。
• 地缘政治与炫耀动机：部分攻击行为体带有“示威”性质，通过Telegram公开泄露数据，旨在制造舆论影响。值得注意的是，攻击者“INDRAMAYU CHAOS SYSTEM”的名称来源于印尼本土城市，其动机和背景值得进一步观察。
• 监测披露效应：需要审慎考虑的一个因素是，本次统计的172起事件是否反映了攻击的“真实增长”，还是“披露密度”的异常——即攻击行为本就存在，但近期被集中曝光于监测视野中？从数据来源看，大量事件来自同一Telegram频道，可能存在信息聚合的放大效应。

1. 数据泄露成为主要威胁：凭证泄露与公民个人数据泄露事件频发，表明攻击者以信息窃取为核心目标，可能用于后续精准钓鱼、身份盗窃或地下交易。
2. 攻击行为呈现“由点及面”特征：从中央部委到地方政府，从高等教育到基础教育，攻击覆盖面广泛，显示出攻击者对印尼政府系统的高度关注。
3. Telegram成为主要传播渠道：绝大多数攻击声明通过Telegram发布，便于快速扩散，形成舆论影响。
4. 防御重点应转向身份与访问管理：由于大量事件涉及“登录凭证泄露”，建议相关机构加强多因素认证、凭证轮换及异常登录监测。
5. 人口数据成为“重灾区”：多起事件泄露NIK、KK、地址、电话等敏感人口信息，可能对公民隐私构成长期威胁。

八. 结论

近10天内，印尼政府机构遭受的网络攻击呈现出高频率、多样化、目标明确的特点，在全球范围内仅次于以色列，成为网络攻击的“热点国家”。以“INDRAMAYU CHAOS SYSTEM”为代表的行为体通过Telegram平台大量发布政府登录凭证，显示出较强的攻击能力与传播意图。DDoS攻击和网页篡改虽数量相对较少，但也不容忽视。

印尼为何成为攻击“重灾区”？这一问题尚无确定答案，但数据指向几种可能因素的叠加：攻击者的集中发力、防御短板的暴露、人口数据的黑市价值，以及监测披露效应的放大。无论原因为何，这一现象已对印尼政府机构的网络安全构成实质性挑战。建议印尼相关机构加强网络安全监测、提升关键系统防护能力，并加强跨部门信息共享与应急响应机制，以应对持续演变的网络威胁。

参考资源：暗网监测

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《印尼这是要抢美伊战争的风头？为何近十日密集被爆安全事件？》