假记者、假吹哨人、OAuth 钓鱼：公民实验室揭中共数字跨国镇压新形态

2026 年 4 月 27 日，多伦多大学公民实验室（Citizen Lab）发布编号 193 的研究报告《Tall Tales：中国行为体如何以冒名与挪用叙事推进数字跨国镇压》，与国际调查记者联盟（ICIJ）联合披露两个与中国国家行为体相关的网络组织——代号 GLITTER CARP 与 SEQUIN CARP——自 2025 年起对维吾尔、藏人、香港、台湾的离散社群以及报道相关议题的记者持续发动钓鱼与身份冒用攻击。

公民实验室的报告写道，GLITTER CARP 自 2025 年 4 月起活跃，主要手法是冒充记者、电影制作人乃至欧洲议会议员的身份，向目标发送邀约邮件诱导其访问伪造登录页，截取邮箱与社交账号凭证。SEQUIN CARP 则自 2025 年 6 月起针对报道中国相关议题的国际记者，使用 OAuth 同意钓鱼（OAuth consent phishing）绕过多因素认证。研究人员在过去一年内识别出超过 100 个结构相似的钓鱼域名，覆盖维吾尔、藏人、香港、台湾社群中十余位人权工作者。

ICIJ 在配套报道中举出一个具体案例：2025 年 5 月，台湾媒体《沃草》（Watchout）首席运营官洪国钧收到一封署名「陈一姗」（一位台湾本地资深记者）的邮件，自称代表 ICIJ 邀约采访。经核对，真实的陈一姗与 ICIJ 均未发出该邮件。ICIJ 称，这一波攻击发生在该机构 2025 年 1 月发布《China Targets》调查报道之后，攻击对象集中于参与该项目的记者本人及其消息源。

公民实验室在报告中将这一现象与中国「军民融合」战略下的网络承包生态相联系，指出私营安全公司承接外包任务，使大规模攻击成本下降、批量化运营成为可能。报告同时承认，攻击者在执行层面存在「频繁的操作错误」——例如使用同一登录凭证管理多个伪装账号、域名注册信息相互关联——这些错误为研究人员追溯归因提供了切口。

这份报告发布的时间点，正值国际特赦组织（Amnesty International）年度报告《全球人权状况》的余波期。该年度报告于 2026 年 4 月 21 日发布，覆盖 144 个国家在 2025 年的人权状况。秘书长 Agnès Callamard 在发布会上表示，人类正处在「时代最具挑战性的时刻」，强国与反人权运动正在合力「侵蚀多边主义与国际法」。报告点名以色列在加沙的暴行、俄罗斯对乌克兰民用基础设施的攻击、缅甸军方对村庄的轰炸、伊朗 1 月对抗议者的镇压等。在涉华部分，报告写道中国「持续加强对信息与公共话语的控制，压制异议与和平集会」。

把这两份报告放在一起看，可以勾勒出 2026 年人权议题的一个新焦点：跨境压制不再限于实体绑架、护照吊销、家属胁迫等线下手段，而是延伸到了数字空间——伪装记者身份、利用 OAuth 协议、嵌入追踪像素、批量注册仿冒域名。这种成本低、部署快、归因难的工具组合，使境外离散社群与跨国调查记者面临持续的、低强度但高频次的安全压力。

对受影响的群体而言，报告披露的细节具有直接防御价值。公民实验室附录列出已识别的钓鱼域名清单与邮件模板特征，建议高风险用户启用硬件安全密钥、关闭非必要的 OAuth 第三方授权，并对陌生「记者」的采访邀约通过其媒体官方渠道二次核实。ICIJ 也调整了与外部消息源的初次联系流程。