中国“红客”如何蜕变为国家顶级网络间谍

一份新的研究报告揭示了中国早期爱国黑客（“红客”）的演变历程。他们最初是出于民族主义自发对西方目标进行网络攻击，后来被中国政府收编，成为了国家庞大间谍机构的核心力量。这些曾经的年轻黑客，如今已是针对美国及其他国家政府和企业进行网络间谍活动的主力。

“红客”的起源与爱国主义

中国早期的黑客社区被称为“红客”（Honkers），这个名字来源于普通话中的“红”和“黑客”。他们大多是上世纪 90 年代末到本世纪初的年轻人，自学成才，通过早期的电子公告板（BBS）分享编程和黑客技术。

• 早期社群: 他们组建了像 绿盟 (Green Army) 和 中国红客联盟 (Honker Union of China) 这样的团体。
• 最初的准则: 早期社群受到像台湾黑客林正隆（coolfire）等人的影响，认为黑客技术应用于加强网络防御，而非恶意攻击。
• 行为准则: 当时黑客行为在法律上并不明确，但社群内部有不成文的规定，如避免攻击政府系统或造成永久性破坏。

然而，这些早期的道德准则很快就被强烈的民族主义情绪所取代。

从技术爱好者到“爱国网络战”

一系列被视为对中国不友好的国际事件，彻底改变了红客的行动方向。他们的攻击目标和动机开始与国家利益紧密相连。

• 1998年: 为抗议印度尼西亚发生的针对华裔的暴力事件，红客组织对印尼政府网站发起了协同攻击。
• 1999年: 在台湾时任总统李登辉提出“两国论”后，红客入侵并涂改了台湾政府网站，宣示“一个中国”的立场。
• 2000年: 为回应日本部分人士否认南京大屠杀史实的言论，红客公布了包含 300 多个日本政府和企业网站的攻击清单。

所谓的“爱国网络战”为红客提供了一个共同的事业，也塑造了他们独特的身份。与西方黑客追求技术挑战和个人声望不同，红客因“帮助中国崛起”的共同事业而团结在一起。正如一份红客联盟的誓言所述：

“将中华民族的利益置于一切之上。”

一个典型的转变路径：谭代林

谭代林（黑客名 Wicked Rose）的经历是红客被国家收编的典型缩影。

• 被发现: 2005 年，当时还是四川理工学院研究生的谭代林，因其黑客活动引起了中国人民解放军（PLA）的注意。
• 被招募: 他和朋友们被鼓励参加一个由解放军附属机构举办的黑客大赛并获得第一名，随后接受了为期一个月的强化黑客培训。
• 为国效力: 谭代林成立了自己的黑客组织 NCPH，并为解放军开发黑客工具、实施网络攻击。据称，他们最初的月薪约为 250 美元，在 2006 年夏季一系列成功的攻击后，月薪涨至 1000 美元。
• 转换雇主: 后来，谭代林转而为中国的文职情报机构——国家安全部（MSS）工作，成为臭名昭著的黑客组织 APT 41 的一员。2020 年，他被美国司法部以黑客罪名起诉。

从失控到收编：政府的介入

2001 年中美撞机事件是一个重要的转折点。当时中美黑客互相攻击，局势一度紧张。中国政府开始担忧红客这种不受控制的力量可能成为外交上的负累。

• 官方态度的转变: 中共官方报纸将这类黑客行为比作 “网络恐怖主义”。曾赞扬红客爱国主义的解放军退役少将也改口称他们对国际关系构成威胁。
• 社群的分化: 在失去了“爱国”这一共同目标后，红客社群开始分裂。一些人选择商业化，创办了像 安天、知道创宇 这样的网络安全公司；一些人转向了网络犯罪；而另一些人，则像谭代林一样，成为了解放军和国家安全部的合同黑客。

构筑国家网络间谍机器

大约从 2003 年起，解放军和国安部开始系统性地招募红客，这一过程在 2008 年北京奥运会后进一步扩大。新的法律将未经授权的入侵行为定为犯罪，也加速了这一进程。

许多前红客成员通过以下方式融入了国家间谍体系：

• 开发核心工具: 他们开发了许多中国 APT 组织至今仍在使用的关键工具，如远程访问木马 PlugX 和 ShadowPad。
• 通过公司运作: 一些人通过合法的科技公司（如 天融信 和 启明星辰）或专为情报活动设立的幌子公司（如 安洵信息 和 成都四零四）为政府工作。
• 直接参与行动: 许多前红客成员被证实直接参与了 APT 41、APT 17 和 APT 27 等组织的国家级黑客行动。

“我认为中国从一开始就想，‘我们可以为了国家利益而拉拢他们’。”前联邦调查局分析师亚当·科齐（Adam Kozy）指出，“这些年轻人本来就有爱国倾向，告诉他们这是在为国家做好事，就能让他们为国效力。同时，他们也意识到可以借此致富。”