来源：奇安网情局

编译：奇安侦察兵

印度智库马诺哈尔·帕里卡国防研究与分析研究所（MP-IDSA）研究员切里安·塞缪尔和罗希特·库马尔·夏尔马5月18日联合发文，分析巴基斯坦在印巴冲突期间针对印度的网络活动。

文章称，在帕哈尔加姆攻击事件后，亲巴基斯坦恶意网络行为者开始活跃，创建了镜像合法服务的虚假域名，并利用上述域名部署针对印度政府和国防人员的恶意软件，同时还在社交媒体平台发布虚假信息以蓄意破坏公众信任；巴基斯坦黑客组织对印度目标发动了一系列网络攻击，但印度采取了有效的响应措施，有效阻止攻击造成任何重大破坏；此次印巴冲突中的网络攻击动向反映出，除陆、空、海三大常规战争领域外，现代冲突也发生在网络空间，军事行动对网络行动的依赖日益加深。

文章称，巴基斯坦在网络领域的攻击行为可以归类为三类：一是高级持续性威胁（APT）和黑客组织活动。巴基斯坦的APT组织针对印度基础设施开展一些较为复杂且持续性的行动，方式包括开展网络钓鱼、传播恶意软件等，而黑客组织的活动则影响较小且经常夸大其词。二是通过社交媒体平台散布的虚假信息。恶意网络行为者通过网络喷子账户、自动机器人以及在社交媒体平台发布虚假消息，包括被操纵的故事、虚假叙述、深度造假、虚假或错误引用的图像以及捏造的新闻报道等，对印度舆论空间形成了“虚假信息海啸”。三是恐怖组织的在线活动。“虔诚军”（LeT）和“穆罕默德军”等恐怖组织广泛利用网络空间进行招募、宣传、沟通、资助、策划和实施袭击。

数字战争：巴基斯坦针对印度的网络活动分析

帕哈尔加姆攻击事件报道曝光后，恶意行为者便开始活跃起来，并在随后的几天里活动明显增多。威胁行为者创建了镜像合法服务的虚假域名，然后利用这些域名部署针对印度政府和国防人员的恶意软件。社交媒体平台上充斥着虚假信息，蓄意破坏公众信任。

2025年5月7日，印度武装部队发起了“辛多尔行动”，实施精确打击，摧毁了巴基斯坦及巴控克什米尔地区的恐怖分子营地网络。此次行动是在帕哈尔加姆袭击事件后进行的。印度国防部长拉杰纳特·辛格表示，印度武装部队采取了有针对性的、有节制的、非升级性的回应，旨在“摧毁”在巴基斯坦境内活动的恐怖分子的“士气”。

巴基斯坦黑客组织对印度目标发动了一系列网络攻击，但均未造成任何重大破坏。这些攻击尝试最早是在帕哈尔加姆袭击事件后，甚至在冲突升级之前就被发现，当时与印度武装部队相关的网站遭到网络污损和网络干扰。尽管相关机构成功挫败了这些入侵行为，但网络攻击的上升反映了欧洲和西亚热点地区的一种模式。

表 1：帕哈尔加姆袭击后针对印度的网络行动

网络恐怖主义的早期描述将其定义为：“有预谋的、出于政治动机的针对信息、计算机系统、计算机程序和数据的攻击，导致地方团体或秘密特工对非战斗目标实施暴力……”

政府计算机网络、金融网络、发电厂等都是可能的目标，因为恐怖分子可能认为这些是最适合破坏或解除其功能以造成破坏的场所。通过带有秘密“后门”的软件操纵系统、窃取机密文件、擦除数据、重写网页、植入病毒等等，只是恐怖主义渗透安全系统的几个例子。

除陆、空、海三大常规战争领域外，现代冲突也发生在网络空间。在俄乌冲突中，双方都有国家支持的独立黑客，他们被动员起来，通过网络攻击让对手付出代价，这种例子比比皆是。同样，在以色列与哈马斯冲突初期，网络事件数量也急剧增加。这些网络行动迄今为止尚未造成任何重大或显著的影响。然而，仅仅基于结果而低估此类行动的重要性将是一个战略性错误。

学者们长期以来一直在争论网络行动在军事危机期间管控升级方面的作用。人们对网络行动在危机升级中的作用以及网络空间恶意行为导致武装冲突的可能性表示强烈质疑。相反，有人认为，网络行动可以被视为一种有价值的力量投射方式，而不会引发武装冲突。此外，网络行动“本质上是为了避免战争”。还有一种观点认为，网络行动可以作为危机降级的出口。鉴于网络空间的性质，有人认为，在考虑网络行动时需要谨慎，因为它可能导致意外升级。

巴基斯坦的网络战略

巴基斯坦在网络领域的攻击行为可以归类为高级持续性威胁（APT）和黑客组织活动、通过社交媒体平台散布的虚假信息以及恐怖组织的在线活动。总部位于巴基斯坦的APT组织积极针对印度基础设施，开展一些较为复杂且持续性的行动，损害印度的利益。例如，APT36（又名“透明部落”）是一个据称来自巴基斯坦的威胁组织，自2013年以来一直活跃，主要针对印度国防、政府和外交机构。

APT36以依赖 Crimson木马（一种用于数据泄露和间谍活动的远程访问木马）而闻名。该组织经常模仿印度政府网站来传播恶意软件。在帕哈尔加姆袭击事件后，APT36发起了一场网络攻击活动，伪造印度国防部和“帕哈尔加姆恐怖袭击”主题文件来传播恶意软件，这些恶意软件最终可能被用于开展信息战和间谍活动。

另一个位于巴基斯坦的APT组织Sidecopy也十分活跃，该组织发送冒充官方实体的网络钓鱼电子邮件，并通过伪装成合法服务的虚假域名传播恶意软件。在此次冲突期间，印度情报机构发现了7个针对印度的APT组织，这些组织也发动了超过150万次网络攻击。据报道，这些攻击大多来自巴基斯坦、孟加拉国和西亚地区。

这些活动已被印度各政府机构标记，并发布了警告。印度已采取预防性措施，以保护其关键基础设施和敏感资产，包括能源、国防制造、电信和运输。印度电信部一直在评估加强基础设施的措施。与此同时，印度计算机应急响应小组（CERT-In）发布了有关银行和金融机构风险的警告。5月10日发布了一份警告，概述了为保护中小微型企业所需采取的基本措施，随后又发布了针对大型企业的警告。在后一份警告中，该机构报告称勒索软件攻击、DDoS事件、恶意软件感染和网页篡改事件急剧增加。

黑客组织的活动影响要小得多，而且大多被夸大其词。此类说法主要通过社交媒体传播，并附上看似成功的黑客攻击截图。经审查，发现其中大多数是对先前无关紧要的入侵事件或不包含敏感信息的数据库的重新包装。许多此类组织还声称其总部设在其他国家。

表 2. APT 和黑客组织声明

尽管如此，在危机普遍存在不确定性之际，它们却为虚假信息活动提供了素材。其目的是传播欺骗性、误导性或带有偏见的信息，通常通过网络喷子账户、自动机器人以及在社交媒体X、Facebook和WhatsApp等平台上协调一致的群发信息。

人工统计显示，印度新闻信息局（PIB）在5天内发布了60多份事实核查报告，以应对这场虚假信息海啸。其中包括一架印度苏-30MKI战斗机在巴控克什米尔地区被击落，一名印度飞行员被俘的传闻。据 PIB 称，用来支持这一说法的照片显示，一架苏霍伊喷气式飞机于2014年在马哈拉施特拉邦坠毁。

这些被操纵的故事、虚假叙述、深度造假、虚假或错误引用的图像以及捏造的新闻报道，通过使用两极分化的标签，被进一步放大。即使是独立专家有时也会被这种虚假信息的洪流所蒙蔽，几乎没有时间进行核实，有时甚至在不知不觉中助长了谣言的进一步传播。印度电子和信息技术部已下令封锁社交媒体平台X的8000余个账户。

巴基斯坦利用恐怖分子袭击印度的行动并不局限于常规领域。“虔诚军”（LeT）和“穆罕默德军”等恐怖组织广泛利用网络空间进行招募、宣传、沟通、资助、策划和实施袭击。互联网和社交媒体平台——包括Facebook、Twitter、WhatsApp、Telegram和YouTube——被有效地用于传播极端主义意识形态和招募追随者。

加密通讯应用程序和私人社交媒体渠道是协调行动、确保成员间安全沟通的核心。例如，“虔诚军”组织了线上和线下社交媒体研讨会，教授如何利用网络空间传播“虔诚军”的意识形态和目标，并煽动年轻人参与克什米尔谷地的反印度抗议活动。“虔诚军”还将网络游戏作为招募工具，在其一个网站上提供一款名为“圣战时代”的游戏链接。

尽管敌对行动已暂停，但有报道指出，威胁行为者仍在将印度政府网站作为攻击目标。据报道，攻击范围也在扩大。GPS 欺骗攻击通常涉及使用软件操纵GPS信号。鉴于其双重用途，这种攻击方式表明战场日益混合化，其次要影响是攻击数百万人使用的关键基础设施。

结论

针对印度基础设施的持续网络攻击表明，在军事敌对行动停止之前、期间和之后，对网络行动的依赖日益加深。帕哈尔加姆袭击事件的报道曝光后，恶意行为者便开始活跃起来，并在随后的几天里活动明显增多。像APT36这样的现有威胁行为者创建了镜像合法服务的虚假域名，用于部署针对印度政府和国防人员的恶意软件。社交媒体平台上充斥着虚假信息，蓄意破坏公众对印度行动的信任。

印度政府迅速做出反应，成功及时挫败了许多攻击。印度官方社交媒体平台（例如X）的账号在识别虚假新闻方面非常有效，并在识别和关闭相关账号方面发挥了关键作用。即便如此，诸如钓鱼邮件、受感染的移动应用程序、间谍软件以及在网站上嵌入隐藏恶意软件等旨在未经授权访问敏感信息的手段，只有通过持续的警惕和严格的数字卫生实践才能有效抵御。