文章总结： 2026年3月荷兰情报机构联合Google威胁情报团队披露，俄罗斯APT组织通过滥用Signal/WhatsApp的多设备登录功能，制作恶意QR码伪装成安全验证或群聊邀请，诱骗军政官员扫描后劫持账号实现实时窃听。攻击全程未利用软件漏洞，而是利用用户对合法功能的信任，精准窃取国防、外交等敏感信息。防御建议包括不扫描来源不明QR码、警惕客服索要验证码、定期检查关联设备及加强群聊安全管理。 综合评分： 85 文章分类： 漏洞分析,威胁情报,解决方案,社会工程学,移动安全

加密聊天也不安全！俄APT组织用1招劫持Signal/WhatsApp，全球军政官员遭窃听

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年3月29日 11:59 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

2026年3月，荷兰情报机构（MIVD与AIVD）紧急发布全球安全警报：与俄罗斯关联的黑客组织正发起大规模网络间谍行动，专门瞄准Signal和WhatsApp的加密通信功能，目标直指全球各国政府官员、军政人员，甚至波及记者等关键人群。

更令人警惕的是，黑客没有利用任何软件漏洞，而是滥用两款APP的合法功能，通过钓鱼诱骗就能劫持账号，实时监听加密聊天——就连以“端到端加密”为核心卖点的Signal，也成了黑客窃取敏感情报的“后门通道”。

结合荷兰情报机构与Google威胁情报团队（GTIG）的追踪分析，我们拆解这场“合法功能变攻击武器”的窃密骗局，教你如何守住加密通信的最后一道防线。

一、攻击手法大揭秘：不攻漏洞，专钻功能“空子”

俄罗斯黑客的攻击逻辑简单却致命，核心是“伪装信任+滥用功能”，两步就能劫持加密账号：

1. 核心招式：恶意QR码劫持“关联设备”

这是黑客最常用的手段，专门利用Signal/WhatsApp的“多设备登录”功能（Signal叫“linked devices”）：

两款APP都支持“主设备+关联设备”同时登录，关联时需扫描主设备生成的QR码；

黑客反向操作：制作恶意QR码，伪装成“Signal安全验证码”“军事专用APP登录码”“群聊邀请码”，甚至仿冒Signal官网的设备配对指引；

诱骗受害者用主设备扫描后，黑客控制的设备就会成为“关联设备”，此后所有加密消息都会实时同步到黑客终端，实现无痕迹窃听。

更阴险的是，黑客还会针对乌克兰军政人员，把恶意QR码嵌入仿冒的军事专用APP页面，利用战场紧急场景降低受害者警惕性，成功率大幅提升。

2. 辅助招式：伪装客服骗取验证码

除了QR码攻击，黑客还会 impersonate Signal官方客服，通过邮件、短信或社交平台联系受害者：

谎称“账号异常登录”“安全等级需要提升”，要求受害者提供短信验证码或APP内的验证信息；

一旦获取验证码，就能直接重置账号登录权限，接管整个聊天账号，读取历史消息、监控新对话。

荷兰情报机构强调，黑客的目标是“单个账号而非平台本身”，全程不触碰软件漏洞，完全利用用户对“官方功能”“客服通知”的信任，让防御方难以通过技术手段拦截。

二、攻击目标：全球军政人员成“重点猎捕对象”

这场行动并非无差别攻击，黑客的狩猎名单精准且明确：

核心目标：各国政府官员、军政人员、外交人员，重点窃取国防部署、政策制定、外交磋商等敏感信息；

延伸目标：记者、智库研究员等“信息枢纽型人群”，通过监控他们的通信，间接获取内幕消息；

地域覆盖：从乌克兰、荷兰等欧洲国家，到全球多个地区，荷兰情报机构已证实本国政府员工中招。

之所以紧盯Signal和WhatsApp，正是因为这两款APP是全球军政、外交人员的“常用加密工具”——Signal的端到端加密被认为“无法破解”，WhatsApp则凭借用户基数大成为跨区域通信首选。黑客恰恰利用这种“安全感”，实现精准窃密。

值得注意的是，俄罗斯关联黑客组织UNC5792（与乌克兰CERT-UA追踪的UAC-0195部分重叠）、APT44（Sandworm）均参与其中，前者擅长篡改Signal群聊邀请链接植入恶意QR码，后者则会将劫持的账号与战场捕获设备绑定，形成“线上窃听+线下渗透”的双重威胁。

三、3个危险信号：你的加密账号可能已被劫持

荷兰情报机构提醒，一旦发现以下异常，需警惕账号被控制：

1. 群聊中出现“重复联系人”——同一联系人显示两个相同或近似昵称的账号，可能是黑客劫持后混入群聊；

2. 陌生账号加入群聊——尤其是通过“群链接”自动加入，且昵称显示“Deleted account”等异常名称；

3. 设备列表出现未知设备——Signal/WhatsApp的“关联设备”中，有你从未登录过的设备记录。

更隐蔽的是，黑客劫持后不会修改账号密码或锁定主设备，而是静默同步消息，很多受害者直到敏感信息泄露才发现异常。

四、紧急防御指南：4步守住加密通信安全

面对这种“利用信任的攻击”，防御的核心是“验证身份+严控权限”，以下措施建议立即落实：

1. 绝不扫描来源不明的QR码

仅扫描自己可控设备生成的QR码（如自己的电脑、平板），拒绝扫描邮件、网页、陌生人发来的任何“安全验证码”“群邀请码”；

若需关联设备，务必通过Signal/WhatsApp官方APP内的功能入口生成QR码，不通过第三方链接或截图获取。

2. 警惕“客服索要验证码”

Signal、WhatsApp官方绝不会通过短信、邮件索要验证码、登录密码等敏感信息，任何此类要求均为诈骗；

收到“账号异常”通知时，直接打开APP内的“安全中心”查看，不点击通知中的陌生链接。

3. 定期检查关联设备

Signal：打开“设置→关联设备”，删除所有未知设备，建议每3个月检查一次；

WhatsApp：进入“设置→关联设备”，关闭“自动登录”功能，退出不常用设备，开启“登录通知”。

4. 群聊安全管理

群管理员定期清理成员，移除昵称异常、身份不明的账号，关闭“通过链接加入群聊”功能；

若怀疑管理员账号被劫持，立即退出该群聊，通过官方渠道联系成员重新创建新群，避免继续泄露信息。

结语：加密不是“免死金牌”，信任才是最大漏洞

这场全球窃听行动再次证明，网络安全的最大漏洞从来不是技术，而是人的信任。当黑客放弃攻击复杂的加密算法，转而滥用合法功能、伪装官方身份，即便是号称“最安全”的加密通信工具，也可能沦为窃密通道。

对军政人员、敏感行业从业者而言，更需牢记：Signal、WhatsApp仅适用于普通通信，绝不能传输涉密信息；重要沟通应采用专用加密设备，或通过“多重验证+离线通信”的方式降低风险。

在网络间谍战愈演愈烈的今天，“不轻信、多验证”才是保护自己的终极法则——毕竟，再强大的加密技术，也挡不住对骗子的“主动信任”。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《加密聊天也不安全！俄APT组织用1招劫持Signal/WhatsApp，全球军政官员遭窃听》