文章总结： 2026年6月8日，攻击组织0cx00iq在暗网论坛发帖，声称掌握约2.63万名与伊朗在海湾国家及伊拉克情报/军事活动相关人员的敏感数据并以1.1万美元价格售卖。泄露样例显示数据包含全名、母亲姓名、电话号码、所属实体、任务地点等高敏感字段，真实性评估为中等偏低至中等，若真实将构成严重人员安全与反情报风险。 综合评分： 65 文章分类： 数据泄露,威胁情报,地缘政治

疑似伊朗情报相关人员信息在公开论坛售卖事件

原创

NightTeam NightTeam

夜组OSINT

2026年6月9日 07:30 青海

在小说阅读器读本章

去阅读

执行摘要

2026-06-08，暗网论坛上出现一则题为 “Iranian spies in the Arab Gulf countries” 的帖子。攻击组织0cx00iq声称掌握约 26,300 名与伊朗在海湾国家及伊拉克情报/军事活动有关人员的数据，并以 11,000 美元，可议价 的价格售卖。材料声称涉及卡塔尔、巴林、沙特阿拉伯、科威特、阿联酋、阿曼和伊拉克。

泄露样例疑似为电子表格，字段包括序列号、全名、母亲姓名、电话号码、所属实体、任务地点、行动目的、出生年份、居住地、出生地等。截图中部分样例字段呈现阿拉伯语与英语双语版本，并覆盖所谓 “Iranian Intelligence”“IRGC Intelligence” 等实体标签。

事件概述

| 项目 | 内容 | | — | — | | 事件类型 | 疑似数据泄露 / 数据售卖 | | 披露时间 | 2026-06-08，具体时区未提供 | | 帖子标题 | Iranian spies in the Arab Gulf countries | | 发帖账号 / 攻击组织 | 0cx00iq | | 声称目标 | 疑似在阿拉伯海湾国家及伊拉克活动的伊朗相关情报/军事人员或线人 | | 涉及国家 | Qatar、Bahrain、Saudi Arabia、Kuwait、UAE、Oman、Iraq | | 声称数据量 | 约 26,300 人 | | 售价 | USD 11,000，可议价 | | 分发渠道 | 论坛帖 + Telegram Channel / Telegram Account | | 可信度初评 | 中等偏低至中等，需进一步验证 |

发帖内容声称这些人员服务于 Iranian Revolutionary Guards 与 Iranian intelligence，并声称其任务目标包括破坏行动、军事打击准备、监控边境行动、招募本地代理、网络攻击、内部不稳定活动等。上述内容高度敏感，但目前仍属于攻击者单方面声明，不能直接视为已验证事实。

泄露/样本/文件核心内容分析

4.1 数据字段

用户提供材料显示，攻击者声称数据包含以下字段：

| 字段 | 含义 | 敏感性 | | — | — | — | | Serial Number | 序列号 | 低至中 | | Full Name | 全名 | 高 | | Title | 头衔 / 身份说明 | 高 | | Mother’s Full Name | 母亲姓名 | 高 | | Phone Number | 电话号码 | 高 | | Affiliated Agency / Entity | 所属机构 | 高 | | Location Detail | 任务或存在地点 | 极高 | | Purpose of Presence | 活动目的 | 极高 | | Year of Birth | 出生年份 | 中至高 | | Place of Residence | 居住地 | 高 | | Place of Birth | 出生地 | 中至高 |

这些字段如为真实数据，将构成高度敏感的个人身份信息与疑似情报行动信息，可能被用于人员识别、定向骚扰、物理威胁、反情报筛查、外交施压或虚假信息操作。

4.2 样例内容观察

截图中可见电子表格样式内容，包含英语与阿拉伯语两个版本。英语表格中可见字段如 Full Name、Mother's Full Name、Phone Number、Affiliated Agency、Location Detail、Purpose of Presence、Year of Birth、Place of Birth 等；阿拉伯语表格结构与之相近。

出于安全和隐私原因，本报告不复述截图中可见的个人姓名、电话号码或疑似身份字段。

4.3 数据用途风险

若该数据集真实，潜在用途包括：

| 用途 | 风险说明 | | — | — | | 人员识别与定位 | 暴露疑似线人、情报人员或被错误标记人员的身份 | | 反情报行动 | 区域国家可能据此开展核查、抓捕或驱逐 | | 舆论影响 | 可被用于制造“伊朗渗透海湾国家”的叙事 | | 钓鱼与诈骗 | 电话号码、姓名、亲属信息可用于社会工程攻击 | | 虚假数据投放 | 若数据被伪造，也可能用于嫁祸、抹黑或心理战 |

技术特征与真实性评估

| 特征 | 观察结果 | 真实性/风险含义 | 置信度 | | — | — | — | — | | 文件形式 | 截图显示为电子表格界面，疑似 LibreOffice / spreadsheet 环境 | 与批量结构化数据泄露形态一致，但截图可伪造 | 中 | | 语言 | 英语与阿拉伯语双语版本 | 与面向区域受众和论坛买家的传播方式一致 | 中 | | 字段结构 | 字段围绕身份、机构、地点、任务目的展开 | 字段设计符合情报/人员档案叙事，但也可能为人工构造 | 中 | | 数据量声明 | 约 26,300 条 | 仅为攻击者声明，尚未验证 | 低 | | 售卖价格 | USD 11,000，可议价 | 符合黑灰产数据售卖行为，但不能证明真实性 | 中 | | 分发方式 | 论坛帖 + Telegram 渠道 | 常见于数据经纪、泄露团伙、黑灰产售卖 | 中 | | 样本遮挡 | 图片存在大面积水印 0cx00iq，仅展示部分字段 | 典型售卖样例做法，同时限制验证能力 | 中 | | 独立验证 | 当前未发现独立公开确认结果 | 降低真实性置信度 | 高 |

真实性综合评估

评估结论：中等偏低至中等置信度。

支持真实性的因素包括：字段结构较完整、英语与阿拉伯语样例相互对应、数据类型与声明主题一致、售卖方式符合地下论坛数据交易模式。

削弱真实性的因素包括：当前只有截图和攻击者自述，缺少原始文件、哈希、元数据、样本行验证、独立受害方确认或第三方研究报告；同时，该主题高度政治敏感，存在伪造、拼接、旧数据再包装、或影响行动的可能。

威胁行为者画像与动机分析

| 维度 | 判断 | | — | — | | 行为者标识 | 0cx00iq | | 可能类型 | 数据经纪 / 黑灰产卖家 / 影响行动账号 / hacktivist，均不能排除 | | 主要动机 | 牟利为主，兼具舆论影响或政治叙事可能 | | 能力水平 | 未知；仅凭截图无法判断其真实入侵能力 | | 访问来源 | 未知，可能为自主入侵、内部泄露、二次转售、旧数据拼接或伪造数据 | | OPSEC 特征 | 使用论坛和 Telegram 导流，典型公开售卖模式 | | 国家级归因 | 证据不足 | | 归因置信度 | 低 |

攻击者声称数据可用于“消除 50% 间谍”，该表述带有明显煽动性与营销性质，也可能被用于提高数据售价和关注度。该类措辞不应被视为真实行动能力证明。

结论

该事件应被视为一起 高敏感度、待验证的公开论坛数据售卖事件。现有材料不足以确认其确为伊朗情报部门或 IRGC 相关真实数据泄露，也不能确认攻击者具备真实入侵能力。但截图所示字段、售卖方式和地缘政治主题表明，该事件具有明显的人员安全、反情报和影响行动风险。

威胁情报全球监控系统

由全球威胁情报系统（dark.libaisec.com）实时监测发现，订阅会员即可查看威胁情报详情及原文。

cti.libaisec.com

监测内容

• 数据泄露事件
• 勒索软件事件
• DDoS攻击事件
• 恶意软件事件
• 访问权限售卖
• 网页篡改事件
• 日志泄露事件
• 网络钓鱼事件
• 漏洞情报监控
• ……

系统会员了解及订阅可联系以下微信，备注来源【威胁情报】

威胁情报

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组OSINT NightTeam NightTeam《疑似伊朗情报相关人员信息在公开论坛售卖事件》