文章总结： 2026年5月跨国调查披露鲍曼莫斯科国立技术大学存在未公开的第4系，专门为俄罗斯GRU培养网络作战人员。该系由GRU军官直接控制招生、课程与分配，训练内容涵盖黑客技术、物理监听、信息心理战等复合能力。毕业生被确认分配至APT28、Sandworm等知名攻击单位，首次曝光GRU网络作战人才供应链，为威胁情报和反情报工作提供新视角。 综合评分： 84 文章分类： 威胁情报,漏洞分析,红队,网络安全,恶意软件

俄罗斯 MIT 里的 GRU 黑客工厂

原创

独眼情报 独眼情报

独眼情报

2026年5月9日 14:08 湖北

在小说阅读器读本章

去阅读

长话短说

2026 年 5 月 7 日,由 VSquare、《卫报》、《世界报》、The Insider、《明镜周刊》、Delfi Estonia、FRONTSTORY.PL 等媒体组成的跨国调查联盟,公开了一项基于 2000 余份鲍曼莫斯科国立技术大学内部文件的联合调查:鲍曼大学军事训练中心内存在一个未出现在公开组织架构图中的「第 4 系」,用于训练未来进入俄罗斯军事情报总局(GRU)的技术型军官,尤其是网络作战、技术侦察、反侦察与信息影响方向人员。《卫报》报道称,这批文件覆盖截至 2025 年的多年活动,包括课程大纲、考试记录、人员合同和毕业生分配记录。

俄罗斯长期将网络空间、电子战、信号情报、心理战和舆论影响视为一体化的「信息对抗」能力,GRU 旗下第 26165 部队(APT28 / Fancy Bear)和第 74455 部队(Sandworm / VoodooBear)也早已出现在美国司法部起诉书、英国制裁公告和多国网络安全通报中。真正的价值在于:这次披露不是单次攻击后的失陷指标/ 战术、技术与流程归因,而是把人才生产端打开了——从学生筛选、课程设计、GRU 军官参与考核,到毕业前分配至具体 GRU 单位,形成了一条可观察的人才供应链。

本文的核心判断是:鲍曼第 4 系的意义,不只是「俄罗斯在大学里训练黑客」,而是它把 GRU 网络作战能力的供应侧暴露出来。过去十年,外界主要通过民主党全国委员会入侵、NotPetya、Olympic Destroyer、乌克兰电网攻击等行动结果识别第 26165 / 74455 部队;而这批文件让外界第一次能更系统地观察到 GRU 如何在大学阶段识别、训练、考核和分配下一代技术型情报人员。美国司法部 2020 年对第 74455 部队人员的起诉书称,其相关行动涉及 KillDisk、Industroyer、NotPetya 和 Olympic Destroyer 等破坏性恶意软件;美国司法部 2026 年又披露第 26165 部队利用路由器实施 DNS 劫持,用于针对军事、政府和关键基础设施等目标。

一、第 4 系到底是什么

1.1 一个不在公开架构图上的秘密部门

按调查联盟报道,鲍曼大学军事训练中心内部存在一个秘密部门,被称为第 4 系或「特种培训」。《世界报》称,这个部门从未出现在学校公开组织架构中,设置了三个方向:「针对信息与技术影响力量及手段的运用与防护」、「信息技术防护」,以及最重要的 934 专业方向,即「特别情报勤务」。《卫报》也称,第 4 系嵌在军事训练中心内部,最核心方向为代码 093400 的「特种侦察勤务」。

这里需要避免一个常见误读:公开组织架构「跳号」本身只能作为弱信号,不能单独证明第 4 系服务于 GRU。真正有价值的是泄露文件中呈现的课程、考核、教师、学生分配和 GRU 军官参与记录。换言之,外部组织架构异常只是入口,文件内容才是证据主体。

1.2 GRU 不是普通合作方,而是深度介入方

文件显示 GRU 对第 4 系的招生、评分、考试和学生分配具有直接控制力,GRU 军官会参与考试、批准候选人并监督岗位分配;这种安排模糊了「教授」与「掌控官」、「教学」与「招募」之间的边界。

这一点是本次披露的核心。普通大学军训项目通常是大学提供军事课程、学生毕业后再进入军队体系;而第 4 系更像是 GRU 将人才筛选前置到大学阶段。学生不只是接受一般军事训练,而是在毕业前就被评估并分配到具体 GRU 单位。2024 年春季从第 4 系毕业的 69 名学生中,达尼尔·波尔申被分配至 Fancy Bear;同一届还有 15 名背景类似的学生进入 GRU 单位。

Fancy Bear大本营

二、从课堂到第 26165 / 74455 部队

调查联盟报道的最关键的是把学生名单、课程记录和毕业分配联系起来。已经披露的去向包括第 26165 部队、第 74455 部队,以及公开资料较少的第 62174、48707、45807 等单位。报道称,文件列出数十名学生及其未来分配单位,其中包括位于克里米亚塞瓦斯托波尔的第 62174 部队,以及与库尔斯克一处 GRU 科研中心共址的第 48707 部队。

三、黑客技能、技术侦察与影响行动被打包训练

3.1 144 小时课程与攻防技能

第 4 系核心课程之一名为「针对技术侦察的防护」,跨两个学期 144 小时,内容包括口令攻击、软件漏洞、木马程序、实用渗透测试,以及计算机病毒模块;学生需要完成「实战渗透测试」,并在一个模块中开发计算机病毒。课程还包括美国和英国军事情报机构组织结构、乌克兰战场上的西方情报使用、敌方侦察与打击无人机等内容。

课程并不局限于传统网络安全。学生被要求学习信息战、心理操纵和宣传材料制作,高年级学生需要设计社交媒体视频,使用「操纵、施压和隐蔽宣传」影响受众。教学材料还向学生灌输克里姆林宫叙事,例如将俄乌战争描述为「不可避免」,将乌克兰政权描述为「民族主义者和新纳粹」,并宣称顿巴斯俄罗斯人面临「种族灭绝」。

3.2 技术侦察与物理监听训练

斯图帕科夫的授课内容包括电子窃听和隐蔽监控,演示文稿中出现了伪装成烟雾探测器的摄像头、键盘记录设备、可截屏的显示器线缆等器材。

这类内容说明,第 4 系并非单纯培养「会写代码的黑客」,而是在培养跨网络、物理侦察、反侦察和信息影响的复合型情报人员。与一般企业红队课程相比,它更接近军事情报训练:既要求学生理解漏洞利用,也要求理解监听设备、外军组织结构、无人机识别和舆论操纵。

四、关键人物画像

4.1 基里尔·斯图帕科夫:第 4 系的教学核心

《卫报》称,第 4 系由中校基里尔·斯图帕科夫领导;文件显示他是一名信号情报军官,2022 年与 GRU 第 45807 部队签署三年合同,但其是否仍在现役并不清楚。《世界报》则称,斯图帕科夫的简历显示他曾领导一个 GRU 单位三年,直到 2025 年 7 月 11 日。

4.2 维克托·涅特克绍:从第 26165 部队指挥官到考试把关人

《卫报》报道称,文件中出现了维克托·涅特克绍,他是受西方制裁的少将,曾指挥第 26165 部队,即 Fancy Bear;美国司法部 2018 年起诉书将他列为涉 2016 年美国大选干预案的 GRU 人员之一。《世界报》也称,一份 2024 年 2 月 16 日的考试准备信件由「V. 涅特克绍」签署。

涅特克绍的案例具有较强解释力:如果调查联盟对 2024 年签署文件的解读无误,那么这说明一名已被美国司法系统公开起诉和制裁的 GRU 高级军官,仍能在俄罗斯境内参与下一代技术型情报人员的培养。美国司法起诉和制裁能够提高国际旅行、资产和声誉成本,但对其在俄境内职业活动的限制显然有限。

4.3 伊万·马卡罗夫 / 马克·费舍尔:高风险指标

《世界报》报道称,在最新一批将于 2027 学年结束时毕业的学员中,有一名反情报方向学生已经更换身份:2001 年出生于莫斯科的伊万·马卡罗夫(Ivan Makarov),在 2023 年 4 月正式成为马克·费舍尔(Mark Fisher),其父亲与 GRU 第 26165 部队共享同一邮政地址。

荷兰情报与安全总局(AIVD)在 2022 年公开披露谢尔盖·切尔卡索夫(Sergey Cherkasov)案:切尔卡索夫是 GRU 情报人员,使用巴西伪装身份试图以实习生身份进入海牙国际刑事法院;AIVD 还解释,非法身份特工通常接受长期训练,并借助化名身份获得俄罗斯国民无法接触的信息环境。这个已公开案例说明 GRU 确实存在长期身份建造和西方机构渗透模式,但它只能作为马卡罗夫 / 费舍尔案的类比参照,而不是直接证明。

五、与既有 GRU 网络行动的连接

5.1 第 26165 部队:APT28 / Fancy Bear

MITRE ATT&CK 将 APT28 归因于俄罗斯 GRU 第 85 主特种勤务中心 / 第 26165 部队,并称其至少自 2004 年以来活跃。美国司法部 2026 年 4 月披露称,第 26165 部队利用被入侵路由器实施 DNS 劫持,针对全球军事、政府、关键基础设施等俄罗斯情报兴趣目标。

这使得第 4 系披露与企业安全有直接关系。它说明 GRU 的行动并不只依赖高端零日漏洞(0day),也大量利用边缘设备、路由器、DNS 配置、默认口令和补丁滞后等基础性问题。对防御方而言,路由器固件更新、DNS 配置核验、小型办公 / 家庭办公及分支机构边缘设备治理,并不是低级运维,而是国家级威胁防御的一部分。

5.2 第 74455 部队:Sandworm

美国司法部 2020 年起诉称,第 74455 部队人员参与了多起破坏性网络行动,相关恶意软件包括 KillDisk、Industroyer、NotPetya 和 Olympic Destroyer;NotPetya 对起诉书中列出的三名受害者造成近 10 亿美元损失。

关于 2025 年底波兰能源基础设施攻击,需要更谨慎表述。波兰政府确认,2025 年 12 月 29 日至 30 日,其能源基础设施遭到有针对性的网络攻击,包括两座热电联产厂和可再生能源管理系统。ESET 研究团队后续将该事件归因于亲俄高级持续性威胁组织 Sandworm,并在关于 DynoWiper 的报告中写明其以「中等置信度」归因 Sandworm。

六、从攻击归因到供应链归因

过去十年,西方对 GRU 网络作战的认知主要来自结果归因:攻击发生后,从基础设施、恶意软件、TTP、操作时间、语言环境、历史复用痕迹回溯到第 26165 部队、74455 部队或更宽泛的 GRU 体系。这种方式可以回答「谁干的」,但很难回答「这些人是如何被生产出来的」。

鲍曼第 4 系的披露让第二个问题变得可分析。它把学生筛选、课程内容、GRU 军官参与、考试评语、毕业分配和单位编号串在一起。报道称,文件显示从课堂中的入侵 / 信息操纵练习,到毕业生进入俄罗斯军事情报机构著名网络单位之间存在路径记录。

这就是「供应链归因」的价值:不再只把 APT28 / Sandworm 看作若干 IOC 和 TTP 的集合,而是把它们视为一套国家能力生产系统的输出结果。人才、课程、意识形态、组织分配、实习单位和前线任务之间共同构成了攻击能力的上游。

七、鲍曼第 4 系的真正价值

鲍曼第 4 系的曝光,不会终结 GRU 的网络作战能力。一所大学的秘密项目被曝光,并不足以摧毁一个拥有长期传统、组织冗余和国家资源支撑的军事情报体系。

但它会提高这条管道继续运转的成本。过去,外界主要在攻击发生之后识别 GRU;现在,至少在部分样本上,外界可以提前看到 GRU 如何选择学生、训练学生、评估学生,并把他们分配到具体单位。这种变化对反情报、签证审查、敏感岗位招聘、制裁设计和威胁建模都有实际价值。

更重要的是,它提醒安全行业:APT 不是凭空出现的攻击标签,而是国家能力生产系统的末端表现。每一个 IOC、每一种 TTP、每一次信息行动背后,都可能有一套大学课程、军官评语、意识形态教材、实习单位和组织分配机制。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 独眼情报 独眼情报《俄罗斯 MIT 里的 GRU 黑客工厂》