法国政府通讯平台遭神秘黑客 Misere 入侵

超过 70,000 名法国政府雇员的个人详细信息被盗。是谁所为？原因何在？

2026 年 6 月 8 日，DINUM 宣布法国官方政府聊天服务 (Tchap) 于 6 月 7 日遭到入侵。与此同时，一个自称 'misere' 的威胁行为者声称对此负责。

DINUM 是法国政府负责 Tchap 的跨部门数字事务局。

Tchap 是一款面向法国政府雇员的“安全”主权即时通讯服务，旨在将数据主权原则与比第三方外国系统更高的安全性相结合。它包括端到端加密的安全聊天室和未加密的“公共”聊天室。

Misere……无人知晓。公开记录中不存在名为 'misere' 的威胁行为者。

DINUM 表示该系统是在账户劫持后被入侵的，并声明：“在超过 825,000 名注册用户中，据报道有 73,467 人受到此次事件影响，占注册用户的不到 9%。”

Misere 据称声称的内容几乎完全相同：窃取了超过 70,000 个账户（与 DINUM 的声明一致）；但补充说窃取了超过 643,000 条消息中的 13.5GB 文件。然而，我们无法验证 misere 的说法，因为这是由 OSINT 社区 FrenchBreaches 报道而非发布的，且 misere 的原始声明在互联网上已不存在或无法获取。

因此，我们面临一个难题。官方公告称入侵发生在（不是被发现而是发生在）6 月 7 日，且仅限于 9% 的用户。这是典型但并非不准确的淡化处理。但几乎同时，一个未知的威胁行为者认同受影响账户的数量，但声称窃取了 13.5GB 的实际数据。我们无法验证后一个细节，因为我们只有关于报道的报道——但如果我们假设准确性和诚实性，一个此前未知的威胁行为者能在一天内收集并外泄如此大量的数据，这现实吗？

为了深入了解事件的因果，我们采访了 Ilia Kolochenko，他是一名合格律师，也是 ImmuniWeb 的 CEO、创始人兼首席架构师。ImmuniWeb 为其客户运营暗网监控和威胁情报服务，每天处理数千起不同事件。

Misere 会不会是国家行为者针对此次规模较小且相对无害的入侵而采用的化名？例如，俄罗斯因法国支持乌克兰的立场而使其难堪；或者美国因其反伊朗战争的立场而如法炮制？Kolochenko 不这么认为，“因为这有点微不足道。这对于大型情报机构来说太小了，不值得费心。”

在 2024 年之前，他曾见过国家行为者入侵系统并迅速采取行动。“但自 2024 年以来，”他继续说道，“国家行为者倾向于渗透并保持低调。现在令人担忧的是，国家行为者正在静默入侵关键国家基础设施及其供应商。他们只是给所有东西植入后门，以获取对国家基础设施的控制权。他们越来越深入，试图访问尽可能多的关键系统。”其动机是预先部署，以便能够同时摧毁敌对国家的多个甚至所有关键行业。这是为可能的实体战争做准备或防御的网络战。

他也不认为入侵是账户接管事件的说法具有信息量。这可能简单到黑客从窃取器日志中获取凭证；但如果是一名高级黑客，则无需如此。“在当今的云和 AI 世界中，你不需要用信息窃取器来窃取 cookies。你不需要零日漏洞。你只需向 API 发送一个合法请求，就能获得政府机构或私营公司的所有记录，几小时内所有内容就会出现在你的硬盘上。”

这样的假设可以解释 misere 如何在入侵被发现的同一天外泄 13.5GB 数据。

Misere 这个名字是否提供了有关行为者或动机的任何线索？同样没有。

Kolochenko 表示：“给这个行为者起的名字毫无意义。有时，黑客或团体想要保护其进行更有意义的黑客攻击的声誉，会采用‘一次性’身份。有时，一个群体会冒充另一个可能被视为竞争对手或与不同敌对国有关的群组。”名字未知的事实并不意味着行为者未知。

总体而言，这次由未知黑客对安全政府聊天系统发起的攻击并不像是一次 APT 攻击。但这甚至可能就是目的。毕竟，它涉及 70,000 名政府雇员。DINUM 在其入侵披露公告中明确指出：“可能暴露的用户账户数据至少包括：姓名、电子邮件地址、所属实体和头像。”所属实体会暴露涉及哪个政府部门，电子邮件地址也已提供，Misere 还进一步声称抓取了 640,000 条（明文）聊天消息。

这些信息的组合对于后续的定向鱼叉式钓鱼攻击来说是一座宝库，对出于经济动机的网络团伙和最终目标不是 Tchap 而是雇佣 Tchap 用户的部委的国家行为者都极具价值。

但是——这正是本次讨论的重点——我们就是不知道真相：一切都是推测。坦率地说，试图理解任何网络安全事件背后的原因和动机都基于推测，而真相几乎无人知晓。