2026-04-26 04:37:17 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该研究报告系统分析了2008-2024年间欧洲70起已定罪间谍案例，发现俄罗斯是主要策动国（占比67.1%），爱沙尼亚案件数最多（19起）。报告创新性提出10类间谍类型学，揭示招募动机遵循MICE模型（金钱58.6%、意识形态18.6%），并指出数字化招募（Telegram、LinkedIn等）和短期间谍趋势上升。核心警示包括普通公民也可能成为目标、无害信息可能被利用，建议加强组织内部韧性和国际情报共享。 综合评分： 85 文章分类： 威胁情报,政策法规,安全意识,应急响应,漏洞分析

cover_image

【资料】2008至2024年间欧洲已定罪间谍案例研究

原创

丁爸丁爸

丁爸情报分析师的工具箱

2026年4月25日 16:13 四川

在小说阅读器读本章

去阅读

一、报告基本信息

这是一份有瑞典安全局(Säpo)、瑞典国防无线电情报局(FRA)、瑞典军事情报与安全局(MUST)委托瑞典国防研究机构（FOI）撰写的研究报告《潜伏在我们之中：欧洲的间谍活动》。

二、研究核心发现

2.1 案件总体情况

70起案件，分布在20个欧洲国家（共搜索了33个欧盟/北约成员国）；

13个国家在此期间零定罪记录（包括爱尔兰、捷克等）。

各国案件分布（前几位）：

| | | | | — | — | — | | 国家 | 案件数 | 主要策动国 | | 爱沙尼亚 | 19 | 俄罗斯（17）、C国（2） | | 北马其顿 | 8 | 未确认 | | 德国 | 8 | 俄罗斯（4）、伊朗（2）、C国（2） | | 立陶宛 | 7 | 俄罗斯 | | 拉脱维亚 | 6 | 俄罗斯 | | 瑞典 | 3 | 俄罗斯 |

2.2 策动国家分析

| | | | | — | — | — | | 策动国家 | 案件数 | 占比 | | 俄罗斯 | 47 | 67.10% | | C国 | 6 | 8.60% | | 伊朗 | 3 | 4.30% | | 土耳其 | 3 | 4.30% | | 白俄罗斯 | 2 | 2.90% | | 美国→俄罗斯 | 1 | 1.40% | | 未确认 | 8 | 11.40% |

关键发现：俄罗斯是绝对主导的策动国，其情报机构中GRU（俄军总参谋部情报总局）最活跃（17起），其次是FSB（联邦安全局）（13起）和SVR（对外情报局）（5起）。

三、间谍类型（十大分类）

报告将传统的5类间谍扩展为10种非互斥类型：

传统内部人员（Traditional Insider）

在机密工作场所工作，处理机密信息。

本研究中有30例（占43%）

典型特征：专家、重复作案、自愿、有意识、单独行动；多为军事或情报人员，也可能是大使馆、政府部门工作人员。

案例：

爱沙尼亚某男子为SVR工作超过10年，曾任国防部安全部门负责人，2008年与妻子（前苏联警察）一同被捕；

瑞典某男子在多个中央机构工作（安全局→军事情报局→国家食品局安全经理），因向俄罗斯传递绝密信息被判终身监禁；

意识形态型（The Ideologist）

受政治意识形态、民族主义或对某国忠诚驱动。

典型特征：自荐、自愿、有意识、利他主义、为帮助而行动；常见于前苏联/东欧集团国家背景人员。

案例：拉脱维亚男子因认同亲克里姆林姆叙事，主动为”Baltic Anti-Fascists”收集情报。

观察员（The Observer）

被指派监视和传递信息，常通过拍摄。

典型特征：被招募、非机密工作场所、非专家、无文化联系。

目标：北约基地、军事港口等。

案例：立陶宛通过Telegram招募人员拍摄军事设施

一次性间谍（The Disposable）

低价值资产，为一次性任务招募（可能知情或不知情）。

典型特征：被招募、非机密工作场所、非专家、单次行动。

难以追踪，与策动者关联性弱。

趋势： 2021-2024年间短期间谍（作案<1年）数量增加，可能与疫情期间社交媒体招募便利有关

中间人（The Intermediary）

负责物流协调的协调者。

典型特征：被招募、非机密工作场所、非专家、有时非自愿、有时不知情、有搭档。

案例：瑞典间谍案中的弟弟充当”跑腿”，在 handler 和 recruited spy 之间传递；爱沙尼亚案例中妻子负责向 handler 交付信息。

多重犯罪者（The Multi-criminal）

除间谍外还犯有其他罪行（破坏、散布虚假信息、影响力行动）

典型特征：被招募、非机密工作场所、为伤害而行动。

9例中有7例来自爱沙尼亚

案例：爱沙尼亚某人有走私、人口贩卖、抢劫背景，为俄罗斯收集警察和边防警卫队信息，同时因走私香烟被多次罚款。

专家型（The Specialist）

非军事/非情报人员，但通过专业获取敏感信息。

典型特征：专家、非机密工作场所。

合并了前研究的”bureaucrats”和”techies”

案例：

德国军事反情报部门翻译员，向伊朗出售军事地图和国防部分析；

德国电工承包商，可接触联邦议院所有电源插座和楼层平面图。

流动间谍（The Mobile Spy）

跨国组合，多国国籍人员在多个欧洲司法管辖区跨境行动。

反映欧洲地区流动性和混合情报工作的去中心化特征。

典型特征：被招募、非机密工作场所、非专家、无文化联系。

案例：德国人受雇为土耳其在希腊从事间谍活动。

关联代理人（The Connected Agent）

通过文化、家庭、宗教、历史与敌对国家有联系的群体，常被通过这些群体论坛招募。

典型特征：文化/家庭联系。

C国招募中常见，东正教有时作为中介。

间谍网（Espionage Rings）

协作进行协调间谍活动的行动网络。

典型特征：被招募、重复行动、有搭档。

2008-2024年间仅1起定罪，但2024-2025年已有多起报告

案例：北马其顿2014年定罪8人（另有10人定其他罪），包括秘密服务人员、前警察将军、内政部官员、议会官员。

四、招募动机分析（MICE模型）

4.1 金钱（Money）

41/70人（58.6%）获得某种形式的经济补偿，金额难以确定，但案例显示：

意大利海军上尉因COVID-19影响家庭经济，向GRU出售北约文件；

瑞典两兄弟从GRU获得超过10万欧元，以美元现金支付，哥哥拿80%；

爱沙尼亚边境走私者被FSB胁迫，以”免坐牢”换取合作。

4.2 意识形态（Ideology）

13/70人（18.6%）表现出对策动国的忠诚；

29/70人（41.4%）与策动国有某种联系；

15/70人（21.4%）在策动国有家庭关系；

10/70人（14.3%）拥有双重国籍；

典型案例：

拉脱维亚男子通过亲克里姆林Telegram频道，为俄罗斯收集国防和北约合作情报；

立陶宛男子通过政党传播亲克里姆林叙事，同时为俄罗斯联系人收集敏感信息；

希腊某人在社交媒体公开宣传”独立西色雷斯”概念，向土耳其传递军舰位置信息。

4.3 胁迫（Coercion）

经典”蜜罐陷阱”（honeytrap）仍有使用。

案例：爱沙尼亚陆军少校在俄罗斯度假时被诱入桃色陷阱，被控强奸后被迫合作，最终被判15.5年。

案例： 3名爱沙尼亚年轻走私者（1992-1994年生）被FSB胁迫，以”免坐牢”换取为俄罗斯从事破坏北约稳定的活动。

4.4 自我/自恋（Ego）

失望、不满、报复、寻求刺激、自我膨胀。

案例：瑞典某间谍”需要被认可”，常强调自己”注定要做更大的事”，尽管已有两个学位和光明前途。

案例：德国年轻情报人员因”无聊”和”不被信任”而向CIA泄露情报，后又主动向俄罗斯领事馆自荐，”想体验新事物”。

案例：爱沙尼亚某男子主要动机是”受伤的自尊”，称指挥官”当面嘲笑他”，俄罗斯情报机构利用其自尊受损。

五、招募方法演变

5.1 传统方法

系统性目标招募：长期培养关系，逐步升级要求。

经典 handler-spy 关系：定期面对面会面，建立信任。

大使馆作为节点：如德国陆军上尉通过波恩领事馆和柏林大使馆联系俄罗斯。

家人/同事/代理人介绍

文化/历史/宗教联系

5.2 现代数字化方法

关键趋势：

疫情期间（2020-2023）社交媒体招募显著增加；

“快餐式间谍”（fast-food espionage）：单次使用、低训练、低投入；

AI生成虚假身份用于”蜜罐”操作。

六、间谍活动目标

6.1 军事信息（最常见）

北约能力：部队、武器、装备、士兵训练计划。

军事战略：作战计划、货运移动、准入路线、防御措施、边境移动、弱点；对乌克兰军事援助的相关情报。

6.2 政治信息

欧洲对俄关系（2014年后）；

制裁影响；

中东政治军事冲突；

欧盟边境和移民政策；

6.3 技术/基础设施信息

能源基础设施（波罗的海国家、波兰、德国特别关注）；

油气技术；

军民两用技术；

关键基础设施：能源、电力、交通、医疗、安全、金融服务。

6.4 反情报

渗透外国情报机构以了解其对本国的了解程度。

6.5 “无害”信息

公开可获取信息的收集可能用于：

逐步培养新招募人员；

验证公开信息的真实性；

评估公众舆论和潜在抵抗。

七、间谍活动方法

7.1 信息收集

摄影：电脑屏幕、建筑、车辆、设备（最常见方法）。

USB/扫描：复制敏感材料。

打印/拍照/保存：如瑞典案例中的大量文档操作。

7.2 信息传递

死信箱（Dead drop）：经典方法，如爱沙尼亚案例中使用饮料盒装胶卷，丢弃在公园垃圾桶；

加密通信：TrueCrypt、VeraCrypt等加密软件；

数字死信箱：创建邮件账户写信息但不发送，放入垃圾箱由同伙取走；

面对面会面：在国外旅行/会议期间，或在本国公共场所；

无线电/卫星通信；

社交媒体平台；

7.3 合作模式

近1/3（21/70）与他人合作作案；夫妻、亲属、同事组合；

角色分工：一人收集，一人传递。

典型案例：

德国夫妻：丈夫为国际智库负责人，通过学术会议为C国收集传递信息;

爱沙尼亚父子：儿子2007年被”蜜罐”招募，父亲5年后加入充当信使;

北马其顿间谍网：8人协同行动;

八、重要讨论与结论

8.1 “没有证据不等于没有发生”

定罪数据只是”冰山一角”;

时间延迟：从招募→活动→发现→逮捕→起诉→定罪，周期很长。

2022年俄全面入侵乌克兰后的增加趋势尚未在定罪数据中显现。

2014年定罪高峰可能反映：俄在吞并克里米亚前增加情报活动，或欧洲警惕性提高。

8.2 俄罗斯的”定义性威胁”地位

47/70案件由俄罗斯策动，显示其在欧洲间谍活动的广度。

但需注意：这可能部分反映检测和起诉的偏重，而非绝对活动量。

C国在美国可能更活跃（引用Herbig 2017研究）。

8.3 立法与应对挑战

土耳其：正扩大”间谍罪”范畴，可能针对记者和人权活动家。

英国：难以起诉C国间谍嫌疑人（2025年案件 collapsed）。

瑞典：2017年起采用新证据呈现方法，使官员更愿意作证，可能增加起诉率。

plea bargaining（认罪协商）：在可能判终身监禁的案件中无法使用，但专家认为这对获取秘密信息很重要。

8.4 未来研究方向

扩展数据集和时间范围。
精细化类型学验证。
意识形态间谍的地理维度比较。
女性与间谍活动（现有数据极少，4/70）。
间谍网的演变（技术变革下的网络化、去中心化）。
犯罪网络与间谍活动的交叉（尤其乌克兰边境地区）。
社交媒体招募方法的系统分析。
乌克兰背景下的间谍活动比较研究。

九、关键图表解读

图1：各国案件与策动国分布

爱沙尼亚案件最多，几乎全是俄罗斯策动；

德国案件多元（俄、C、伊）；

北马其顿8例策动国未确认；

西欧国家（除德国外）案件极少或为零。

图2：定罪年份分布

2014年高峰（9例）

2016-2024年相对稳定（每年4-7例）

关键发现：2022年俄全面入侵后未出现预期的定罪激增

表2：作案时长与定罪年份交叉

2021-2024年”少于1年”的短期间谍增加；

可能反映社交媒体招募的”一次性”趋势；

十、核心警示

间谍威胁的复杂性：传统内部人员与”普通”欧盟公民并存，后者无正式敏感信息访问权限，但可利用欧元区自由流动获取材料。
招募工具箱的扩展：情报机构”不丢弃旧工具，只添加新工具”——传统人际招募与数字化方法并存。
“无害”信息的危险性：多名被定罪者惊讶地发现其提供的信息被视为敏感/机密。
内部韧性与外部威慑并重：需要培养组织文化让员工敢于报告可疑接触，同时加强国际情报共享。
性别盲点：93.8%为男性，但女性可能扮演更战略、更不易察觉的角色（参考瑞典国家犯罪预防委员会关于犯罪网络中女性的研究）。

这份报告基于开源信息和专家访谈，尽管存在”只能看到冰山一角”的局限性，但为理解2008-2024年间欧洲人为外国（特别是俄罗斯）从事间谍活动的模式、动机和方法提供了迄今为止最系统的实证分析。

原文已上传知识星球

长按识别下面的二维码可加入星球

里面已有万余篇资料供下载

续费五折优惠

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：丁爸情报分析师的工具箱丁爸丁爸《【资料】2008至2024年间欧洲已定罪间谍案例研究》