作者：萨姆·库珀（Sam Cooper）

渥太华 – 2025年4月，麦麦提·托合提（Mehmet Tohti）在WhatsApp上收到了一条看似平常的信息。发送者自称是一位知名的维吾尔电影导演和民族音乐学家——作为一名居住在渥太华的维吾尔裔加拿大民权活动人士，托合提完全有理由信任此人。这位导演表示想通过电子邮件给他发送一份正式文件，并询问托合提是否可以提供邮箱地址。

托合提比大多数人都更清楚成为北京目标意味着什么。多年来，他一直收到来自中国的恐吓电话，声称他的家人已经去世。2023年1月，一名中国警官证实了这一消息的真实性。他还向加拿大安全情报局（CSIS）报告称，他相信自己正受到身体监视。虽然他已学会保持警惕，但这条WhatsApp消息看起来非常真实，于是他提供了自己的邮箱地址。

随后发来的邮件根本不是那位导演寄出的。它来自一个陌生的地址，邀请托合提预览一部即将上映的纪录片。链接看起来指向一家合法的独立电影发行商——托合提核实后发现该公司确实存在，于是点击了链接。

然而，链接并没有带他进入电影页面，而是跳转到了一个要求输入谷歌（Google）登录凭据的网页。由于起了疑心，他立即关闭了页面。紧接着，第二封邮件寄达，模仿谷歌安全警报，警告他有可疑的登录尝试。这条警报是用繁体中文书写的——而托合提既看不懂也不会使用这种语言。

他随后联系了“公民实验室”（Citizen Lab），这是多伦多大学的一个数字安全研究小组，二十年来一直致力于追踪由国家资助的网络间谍活动。

公民实验室的调查结果证实了他的担忧，其涉及规模之大令人震惊。

他们的调查发现了100多个恶意域名，目标针对全球数十名海外流亡领袖，以及报道北京日益猖獗的海外消音行动的记者。研究人员以“高度信心”认为，这起有组织的数字骚扰、凭据窃取和监视活动是由为中国政府利益服务的行为者发起的，这与在习近平“总体国家安全观”指导下，由中国国家安全部及附属情报部门运作的行动特征一致。

在谈到研究人员的发现时，托合提告诉《调查局》（The Bureau），这些攻击不仅仅是一次简单的入侵，其后果远远超出了那些选择公开发声反对北京将其安全体系延伸至民主社会的活动人士和社区领袖。他认为，这些技术手段打击了更根本的东西：通信自由和社会信任，而这正是开放的民主制度优于威权体系的核心优势。

“他们的最终目标不仅是窃取个人数据和敏感信息，更要破坏个人和组织的根基——导致混乱、功能失调，在某些情况下甚至造成人身和财产损失，”托合提说。“除了眼前的伤害，这些攻击还在侵蚀我们日常交流中的信任。它们营造了一种怀疑的环境，甚至连日常互动都会受到质疑。这种日益增长的不信任将带来远远超出数字领域的长期社会后果。”

公民实验室的报告确定了两个重叠的黑客活动集群，代号分别为“GLITTER CARP”和“SEQUIN CARP”。尽管两者的具体目标和手段有所不同，但都服务于同一个战略目的：监视、恐吓并最终使习近平政府的海外批评者噤声。

https://www.thebureau.news/p/ccp-hackers-targeted-uyghur-leaders