文章总结： 黑客组织REGNUM于2026年3月27日宣称其下属小组CARDINAL成功渗透法国凯旋级战略核潜艇通信系统，披露了利用CVE-2025-4432漏洞篡改甚低频广播指令的技术细节，并声称已获取潜艇设计资料等敏感数据在暗网标价12万美元出售。该组织展示了从北约NC3网络到星链系统的多领域渗透能力，但相关说法尚未得到独立核实。 综合评分： 72 文章分类： 威胁情报,漏洞分析,网络安全,红队,恶意软件

黑客组织REGNUM曝光法国“凯旋”级战略核潜艇通信系统入侵细节

原创

网空闲话 网空闲话

网空闲话plus

2026年3月27日 07:05 北京

在小说阅读器读本章

去阅读

2026年3月27日监测发现，此前以“CARDINAL”名义发动系列网络攻击的黑客组织当天发布声明，宣称CARDINAL仅是其架构下“铁师”的一个行动小组，其真实身份为代号“REGNUM”的层级化黑客力量。该组织同时披露了代号“利维坦行动”（Operation Leviathan）的最新行动细节，声称已深度渗透法国海军“凯旋”级（Triomphant-class）战略核潜艇的通信系统，并具备篡改甚低频（VLF）广播指令的能力。REGNUM还宣布，在针对法国的“特殊网络行动”中获取的数据库、人员信息及潜艇设计资料已在暗网论坛挂牌出售，开价12万美元。相关说法暂未获得独立证实。

身份揭幕：CARDINAL仅为“铁师”一个小组

REGNUM于2026年3月27日发布的长篇声明中，直指此前网络安全界对其前身CARDINAL“中等技术能力”“叙事战术”等分析结论为误判。声明原文写道：

“You spent weeks chasing Cardinal. Analyzing their logs. Writing reports about ‘medium skills’ and ‘narrative tactics.’ You were looking at the wrong thing. Cardinal was a mask. A distraction. A cloud of smoke we lit while we walked through the door you left open.”

该组织宣称其内部架构划分为四个职能单元：“铁师”（Iron Division）负责电力、水务、核设施等关键基础设施；“幽灵师”（Ghost Division）从事信号情报、人力情报与开源情报收集；“战锤师”（Hammer Division）负责零日漏洞挖掘与网络渗透；“先知师”（Prophet Division）则主导战略叙事与信息心理战。声明特别指出，此前引发广泛关注的CARDINAL系列行动“仅是铁师下属一个小组所为”。

声明同时列举了REGNUM声称已掌握的持续访问权限，包括：北约NC3网络（“已确认”）、以色列“铁穹”指挥链（“已确认”）、星链地面控制系统（“已确认”），以及英国“天网”军用卫星系统（“已确认”）。在此基础上，该组织宣布了“利维坦行动”，目标直指法国海军战略核力量。

声明中还提及一位代号“Apollon”的核心人物，原文称：“Apollon does not write in social media. Apollon built this structure. Apollon commands it. You will not find his face. You will not find his name. You will find his work in the systems he has already left.” 这一表述暗示该组织背后存在一名或多名具有高度战略规划能力的指挥者，刻意保持匿名状态。

技术日志详解：“凯旋”级核潜艇通信链遭深度渗透

REGNUM在帖文中附带了一份据称为法国海军战略核潜艇通信终端“SYRACUSE IV / VLF”的系统日志截图。截图顶部标注有“TRÈS SECRET DÉFENSE // NOFORN”（法国最高国防机密级别，不得向外国人员披露），事件发生时间记录为“25 MAR 2026 14:17:32 UTC”，会话ID为“SSBN-COM-2026-112”，操作者被标记为“SESSION FORCED”。

日志详细记录了攻击者对法国海军全部四艘“凯旋”级弹道导弹核潜艇——Triomphant（S616）、Téméraire（S617）、Vigilant（S618）、Terrible（S619）——通信系统的操作轨迹，时序记录精确至秒：

• 14:17:32：会话开启，源IP为“45.33.22.14”，标注“forced authentication”；
• 14:17:35：身份验证令牌绕过，标注利用漏洞“CVE-2025-4432”及存储的凭证哈希；
• 14:17:41：拉取现役潜艇名单，显示四艘潜艇；
• 14:17:47：查看甚低频广播队列状态，末次传输时间为“14:12:04”；
• 14:17:53：连接“SYRACUSE IV”卫星通信链路，加密方式为“AES-256”，密钥ID为“FR-2026-03-22”；
• 14:18:11：获取四艘潜艇实时位置数据，分别为：Triomphant位于“48.5°N, 15.2°W”（大西洋，巡逻区ALPHA），Téméraire位于“59.1°N, 22.3°W”（北大西洋，巡逻区BRAVO），Vigilant位于“42.8°N, 18.5°W”（亚速尔群岛附近，返航中），Terrible位于“52.3°N, 31.4°W”（大西洋中部，巡逻区CHARLIE）；
• 14:18:35：下载任务指令，并利用前述密钥解密成功；
• 14:18:47：获取任务摘要原文：“Maintain strategic deterrence patrol. No launch authorization. Report position every 12h via VLF burst.”；
• 14:19:02：向广播队列注入替代指令，优先级设置为“OVERRIDE”，内容为“Standby for emergency launch order verification. Code: ALPHA-7-ECHO-4.”；
• 14:19:11：广播预定于“14:20:00”执行；
• 14:19:18：法国海军布雷斯特司令部发出首次手动覆盖警报，试图取消广播；
• 14:19:25：覆盖请求被拒绝，日志标注“REGNUM priority active”；
• 14:19:33：会话克隆至“SYRACUSE IV”备份信道，维持持久访问；
• 14:19:58：下载近72小时甚低频突发日志，数据量“2.4 MB”；
• 14:20:00：篡改后的广播指令被执行，所有潜艇发出确认信号；
• 14:20:07：布雷斯特司令部第二次覆盖尝试被拒，认证令牌显示“invalid”；
• 14:20:28：攻击者截获法军内部日志，内容为“SSBN network anomaly detected. Possible intrusion. Running forensic analysis.”；
• 14:21:11：会话被外部主机终止，攻击者声称“logs wiped from local terminal”。

日志末尾统计显示：四艘潜艇全部被监控，一条广播指令被篡改，两次法军干预尝试均被拒绝，2.4 MB数据被窃取，“SYRACUSE IV”链路持续访问时间3分45秒。日志最后修改者标注为“REGNUM.CORE”。

数据出售声明：12万美元开价 未见后续信息

在另一则帖文中，REGNUM以英文和俄文双语发布消息，声称“针对法国的特殊网络行动”中获取了“数据库、工作人员个人信息、设计图纸、潜艇构成及秘密部门的全部详细信息”。该组织宣布，上述数据包已在暗网论坛挂牌出售，开价“120,000美元”。帖文未提供具体售卖渠道，平台，链接，截至发稿时，公开渠道亦未监测到该数据包的实际交易信息或样本泄露。这一“有价无市”的状态与REGNUM此前“先宣称、后逐步披露”的操作模式一致，外界尚无法独立核实数据包的真实性及内容范围。

综合评估：叙事策略与核实困境

此次REGNUM组织披露的技术细节与此前CARDINAL针对英国“天网”系统的行动形成清晰递进关系：两者均以军用卫星通信系统为目标，均发布带有精确时间戳与操作命令的系统日志，均宣称具备“重写指令”而非仅仅是“读取数据”的能力。若上述技术描述属实，则标志着针对北约盟国战略通信基础设施的攻击已从“窃听”演进至“可控干扰”乃至“指令伪造”的层级——在“利维坦行动”的描述中，攻击者不仅能够读取潜艇任务指令，还能够向核威慑力量的指挥链路注入伪造的紧急发射命令。

然而，外界仍面临与过往事件相同的核实困境。一方面，日志中提及的“CVE-2025-4432”漏洞编号（CVE-2025-4432是Rust语言Ring crate中的一个漏洞，在启用溢出检查时，攻击者可通过构造特制的QUIC数据包远程触发panic，从而导致服务崩溃（拒绝服务））、加密密钥ID“FR-2026-03-22”、四艘潜艇的具体经纬度坐标等细节具有高度迷惑性，与真实军用系统操作界面高度相似；另一方面，无法查证法国国防部、海军参谋部等官方网站及公开信息渠道针对此事件的回应。

REGNUM在声明末尾以拉丁文格言“Auctoritas non rogatur”（权威不容置疑）落款，并附带了其Telegram频道及X平台账号链接。这种修辞风格与“MONARCH”等近年来活跃的黑客组织形成呼应——后者曾发布疑似以色列“铁穹”防空系统崩溃画面，并与网络安全研究人员展开舆论交锋。无论此次事件的技术真实性最终能否得到验证，REGNUM所采取的“分层揭露”策略已经构成一种新型信息威慑模式：先以CARDINAL的低烈度行动试探舆论反应，再以REGNUM的名义一次性展示针对核威慑力量的宣称性渗透，同时将此前多个北约相关系统的攻击传闻串联为统一叙事。这种手法在虚实之间制造了巨大的认知管理空间，使防御方同时面临技术取证与战略信誉的双重压力。REGNUM宣称的数据出售行为尚未在暗网论坛看到。事件仍有待进一步核实与官方回应。

参考来源：REgnum的TG频道

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《黑客组织REGNUM曝光法国“凯旋”级战略核潜艇通信系统入侵细节》