欧洲与美国的替身信息行动报告

年中欧洲与美国的 Doppelgänger 信息行动

标识符：TRR240701
发布日期：2024 年 7 月 25 日｜阅读时间：54 分钟

近几个月来，研究人员和威胁情报分析师见证了欧洲与美国境内高阶虚假信息活动的急剧升级。这些活动被归类为 “Doppelgänger 信息行动”，运用新型基础设施技术、多层跳转链以及由机器人驱动的社交媒体传播机制来操纵叙事、影响公众舆论。本文将深入解析这些行动的技术细节，从基础设施观测到分析用的代码示例一应俱全。无论你是网络安全初学者还是高级研究员，都能在此获得关于威胁演变的宝贵洞见，并学会如何检测、分析与防御此类攻击。

引言
什么是 Doppelgänger 信息行动
虚假信息技术与“(反)信息链”
基础设施观测
- 一级跳转器
- 二级跳转器
社交媒体与机器人网络
真实案例分析
防御措施与最佳实践
代码示例：扫描与解析 Doppelgänger 基础设施
- Bash/Curl 扫描示例
- Python 解析输出
结论
参考资料

引言

现代虚假信息活动早已超越了简单的假新闻网站或欺骗性社交媒体帖子。最近这波年中行动——主要由俄语背景威胁方主导——展现了一种被称为 “Doppelgänger” 的精细化作案手法。这些行动在 2024 年 6 月法国突袭性议会选举等政治事件中被大范围监测到。

本文将拆解：

Doppelgänger 行动的关键组成
信息传播链的运作方式
基础设施资产如何被轮换与混淆
如何利用机器人网络人为抬升互动量
帮助防御者检测与反制的技术细节

对于从事网络威胁情报（CTI）的组织而言，深入理解这些机制对于降低风险、保护民主进程至关重要。

什么是 Doppelgänger 信息行动

Doppelgänger 行动指一类协同的信息操纵活动，其主要特征包括：

冒充可信新闻网站： 使内容表面上具备公信力。
利用社交媒体与数字平台： 尤其在 X/Twitter 上使用自动化机器人推广误导性内容。
多层跳转链： 隐藏内容来源，干扰实时检测与分析。

“Doppelgänger” 一词在公开研究中通常指：

用于行动的假人设、机器人和网站；
支撑行动的底层基础设施；
使内容绕过传统安全防护、精准触达受众的战术。

此类活动在突发政治事件后迅速涌现，促使网络安全专业人士必须迭代分析方法、提升检测能力。

虚假信息技术与“(反)信息链”

在 Doppelgänger 行动的核心，是精心设计的多层“(反)信息链”，让最终信息源难以溯源。

(反)信息链关键元素

社交网络帖子
- 活动通常起始于社交平台（如 X/Twitter），机器人账号发布独特链接。
- 账号常伪装成加密货币或 Web3 意见领袖，互动数据被人为抬高。
一级跳转器
- 这些 URL 会立即将用户重定向至下一层。
- 域名大多是新注册的 gTLD（如 .click、.top、.shop），链接短且随机。
二级跳转器
- 用户进入一级跳转器后会被再次转发。
- 页面可能含额外的 JavaScript 混淆与无意义占位内容，迷惑人类或自动扫描器。
最终落地页
- 目标内容页，通常包含编造叙事或与俄方利益一致的操纵信息。

信息链流程示意

社交媒体帖子 (X/Twitter)
       │
       ▼
一级跳转器（随机 URL）
       │      (混淆 HTML / Meta 跳转)
       ▼
二级跳转器（进一步混淆）
       │
       ▼
最终内容网站（虚假信息 / 冒充新闻）

了解每一层对于威胁猎人和 CTI 分析师至关重要。

基础设施观测

Doppelgänger 行动的一大特点是：持续轮换、混淆基础设施。操作者通过更换域名、随机化 URL 结构、使用廉价且新注册域名来增加处置难度。

一级跳转器

特点：

动态 URL 结构
• http(s)://<5-6 随机字符>.<域名>/<6 随机字符>
• http(s)://<短域>/<6 随机字符>
注册趋势
常用 .click、.top、.shop 等新 TLD。
服务器特征
• 解析到的 IP 上常见：
- 22 端口 OpenSSH
- 80/443 端口 OpenResty + PHP 7
  • 通常为自签名证书与默认服务器元数据，形成“散乱”指纹。

一级跳转器 HTML 示例：

<!DOCTYPE html>
<html>
  <head>
    <title>Citizenship Doesn't Matter If You Support Biden</title>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <meta name="twitter:card" content="summary_large_image">
    <meta property="og:title" content="Citizenship Doesn't Matter If You Support Biden"/>
    <meta property="og:description" content="Republicans are trying to rush a bill through Congress to allow only U.S. citizens to vote in presidential elections."/>
    <meta property="og:image" content="https://telegra.ph/file/d1629e477f84abbc37dbc.jpg">
    <meta http-equiv='refresh' content='0; url=hxxp://vickypitner[.]com/wash9261378'>
  </head>
  <body>
    <script type="text/javascript">
      var _0xc80e=["","split", ... ,91,"xAkdhqbIQ",45,7,10];
      document.body.style.color = "white";
    </script>
    <div>
      принц-регент – А кто занимается похоронами? Не вы? ...
    </div>
  </body>
</html>

二级跳转器

特点：

自定义 HTML 与 meta 标签
继续通过 HTTP meta 刷新或 JavaScript 跳转导流。
混淆策略
页面充满无关文本与代码，干扰查看或自动抓取。

二级跳转器 HTML 示例：

<html lang="en">
<head>
  <meta charset="UTF-8" />
  <meta http-equiv="X-UA-Compatible" content="IE=edge" />
  <meta name="robots" content="noindex, nofollow">
  <meta name="viewport" content="width=device-width, initial-scale=1.0" />
  <title>with their hippopotamus.</title>
  <!-- 额外混淆内容 -->
</head>
<body>
  <div class="header">
    <h1>Website Header</h1>
    <a href="page2.html">Page 2</a>
  </div>
  <!-- 内容已截断 -->
</body>
</html>

从 5 月中旬到 7 月下旬的主动监控中，研究人员识别出数千个类似 URL，遍布数百个域名，系统化部署以增加流量分析和检测难度。

社交媒体与机器人网络

社交平台（尤其是 X/Twitter）在放大 Doppelgänger 行动中发挥关键作用。

社交传播特征

机器人驱动传播
- 检测到 800+ 疑似账号都在发布指向一级跳转器的链接。
- 账号伪装为加密货币/Web3 网红，凭借“异常”互动量提升可信度。
多语种、内容多样化
- 机器人使用英语、法语、德语、波兰语、乌克兰语等多语言推文，扩大覆盖面。
混淆与多用途
- 某次事件中出现了 AI 生成的乐队仿作视频，讽刺巴黎奥运会；虚假信息与娱乐元素结合，削弱公众警觉。

对网络安全的影响

检测难度增加
内容和语言差异使传统垃圾信息检测效果有限。
机器人租赁或双重用途
机器人网络可能被租赁，也可能与加密诈骗活动交叉，使溯源与处置更加复杂。

真实案例分析

案例一：法国突袭议会选举

背景
2024 年 6 月法国突然举行议会选举，Doppelgänger 活动大幅升温。

观测

机器人账号发布带法语元数据的链接。
亦出现西班牙语、德语版本，暗示更广泛的欧洲策略。
跳转链保持一致，快速过渡至针对政治情绪的落地页。

分析
该行动展现了域名快速注册、跳转链灵活切换的能力，可在政治事件发生时迅速调整叙事。

案例二：AI 生成内容的误用

背景
常规网络监控期间，发现一段 AI 生成的讽刺巴黎奥运会音乐视频。

观测

视频通过看似无害的网红账号传播。
虽为娱乐形式，核心信息却在贬损公共机构。

分析
表明需将内容分析与行为分析结合，仅靠文本检测无法发现此类多媒体操纵。

防御措施与最佳实践

1. 威胁情报整合

多源情报：结合公共、私有和学术来源。
自动告警：在 SIEM 中部署 YARA、Sigma 规则监测 Doppelgänger 指纹。

2. 网络流量分析

深度包检测 (DPI)：发现异常 HTTP 头、Meta 跳转、快速重定向。
证书监控：跟踪自签名证书和默认发行信息。

3. 终端安全与行为分析

EDR/EPP 集成：监测与机器人活动相关的异常进程。
AI 驱动分析：利用现代平台关联 Doppelgänger TTP。

4. 用户意识与平台协作

培训计划：提升数字素养，识别可疑链接与操纵内容。
平台合作：与社交媒体协同，快速下架违规账号。

代码示例：扫描与解析 Doppelgänger 基础设施

Bash/Curl 扫描示例

#!/bin/bash
# scan_redirects.sh
# 用途：扫描 URL 列表并提取 meta refresh 跳转
# 使用方法：./scan_redirects.sh urls.txt

if [ $# -ne 1 ]; then
  echo "用法: $0 <urls_file>"
  exit 1
fi

URLS_FILE="$1"

if [ ! -f "$URLS_FILE" ]; then
  echo "文件 $URLS_FILE 不存在。"
  exit 1
fi

while IFS= read -r url; do
  echo "扫描 URL: $url"
  meta=$(curl -sL "$url" | grep -i "meta http-equiv='refresh'")
  
  if [ -z "$meta" ]; then
    echo "未发现 meta refresh: $url"
  else
    echo "发现 meta refresh: $meta"
  fi
  echo "---------------------------------------"
done < "$URLS_FILE"

Python 解析输出

#!/usr/bin/env python3
import re
import requests
from bs4 import BeautifulSoup

def fetch_html(url):
    try:
        response = requests.get(url, timeout=10)
        response.raise_for_status()
        return response.text
    except Exception as e:
        print(f"获取 {url} 失败: {e}")
        return ""

def extract_redirect_url(html):
    soup = BeautifulSoup(html, 'html.parser')
    meta = soup.find('meta', attrs={'http-equiv': re.compile('refresh', re.I)})
    if meta:
        content = meta.get('content', '')
        match = re.search(r"url=(.*)", content, re.IGNORECASE)
        if match:
            return match.group(1).strip()
    return None

def main():
    urls = [
        "http://example-redirect1.com/xyz123",
        "http://example-redirect2.com/abc456"
    ]
    
    for url in urls:
        print(f"获取 URL: {url}")
        html = fetch_html(url)
        if html:
            redirect_url = extract_redirect_url(html)
            if redirect_url:
                print(f"跳转目标: {redirect_url}")
            else:
                print("未发现跳转 meta 标签。")
        print("-" * 50)

if __name__ == "__main__":
    main()

引言
什么是 Doppelgänger 信息行动
虚假信息技术与“(反)信息链”
基础设施观测
- 一级跳转器
- 二级跳转器
社交媒体与机器人网络
真实案例分析
防御措施与最佳实践
代码示例：扫描与解析 Doppelgänger 基础设施
- Bash/Curl 扫描示例
- Python 解析输出
结论
参考资料

引言

本文将拆解：

Doppelgänger 行动的关键组成
信息传播链的运作方式
基础设施资产如何被轮换与混淆
如何利用机器人网络人为抬升互动量
帮助防御者检测与反制的技术细节

对于从事网络威胁情报（CTI）的组织而言，深入理解这些机制对于降低风险、保护民主进程至关重要。

什么是 Doppelgänger 信息行动

Doppelgänger 行动指一类协同的信息操纵活动，其主要特征包括：

冒充可信新闻网站： 使内容表面上具备公信力。
利用社交媒体与数字平台： 尤其在 X/Twitter 上使用自动化机器人推广误导性内容。
多层跳转链： 隐藏内容来源，干扰实时检测与分析。

“Doppelgänger” 一词在公开研究中通常指：

用于行动的假人设、机器人和网站；
支撑行动的底层基础设施；
使内容绕过传统安全防护、精准触达受众的战术。

此类活动在突发政治事件后迅速涌现，促使网络安全专业人士必须迭代分析方法、提升检测能力。

虚假信息技术与“(反)信息链”

在 Doppelgänger 行动的核心，是精心设计的多层“(反)信息链”，让最终信息源难以溯源。

(反)信息链关键元素

社交网络帖子
- 活动通常起始于社交平台（如 X/Twitter），机器人账号发布独特链接。
- 账号常伪装成加密货币或 Web3 意见领袖，互动数据被人为抬高。
一级跳转器
- 这些 URL 会立即将用户重定向至下一层。
- 域名大多是新注册的 gTLD（如 .click、.top、.shop），链接短且随机。
二级跳转器
- 用户进入一级跳转器后会被再次转发。
- 页面可能含额外的 JavaScript 混淆与无意义占位内容，迷惑人类或自动扫描器。
最终落地页
- 目标内容页，通常包含编造叙事或与俄方利益一致的操纵信息。

信息链流程示意

社交媒体帖子 (X/Twitter)
       │
       ▼
一级跳转器（随机 URL）
       │      (混淆 HTML / Meta 跳转)
       ▼
二级跳转器（进一步混淆）
       │
       ▼
最终内容网站（虚假信息 / 冒充新闻）

了解每一层对于威胁猎人和 CTI 分析师至关重要。

基础设施观测

Doppelgänger 行动的一大特点是：持续轮换、混淆基础设施。操作者通过更换域名、随机化 URL 结构、使用廉价且新注册域名来增加处置难度。

一级跳转器

特点：

动态 URL 结构
• http(s)://<5-6 随机字符>.<域名>/<6 随机字符>
• http(s)://<短域>/<6 随机字符>
注册趋势
常用 .click、.top、.shop 等新 TLD。
服务器特征
• 解析到的 IP 上常见：
- 22 端口 OpenSSH
- 80/443 端口 OpenResty + PHP 7
  • 通常为自签名证书与默认服务器元数据，形成“散乱”指纹。

一级跳转器 HTML 示例：

<!DOCTYPE html>
<html>
  <head>
    <title>Citizenship Doesn't Matter If You Support Biden</title>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <meta name="twitter:card" content="summary_large_image">
    <meta property="og:title" content="Citizenship Doesn't Matter If You Support Biden"/>
    <meta property="og:description" content="Republicans are trying to rush a bill through Congress to allow only U.S. citizens to vote in presidential elections."/>
    <meta property="og:image" content="https://telegra.ph/file/d1629e477f84abbc37dbc.jpg">
    <meta http-equiv='refresh' content='0; url=hxxp://vickypitner[.]com/wash9261378'>
  </head>
  <body>
    <script type="text/javascript">
      var _0xc80e=["","split", ... ,91,"xAkdhqbIQ",45,7,10];
      document.body.style.color = "white";
    </script>
    <div>
      принц-регент – А кто занимается похоронами? Не вы? ...
    </div>
  </body>
</html>

二级跳转器

特点：

自定义 HTML 与 meta 标签
继续通过 HTTP meta 刷新或 JavaScript 跳转导流。
混淆策略
页面充满无关文本与代码，干扰查看或自动抓取。

二级跳转器 HTML 示例：

<html lang="en">
<head>
  <meta charset="UTF-8" />
  <meta http-equiv="X-UA-Compatible" content="IE=edge" />
  <meta name="robots" content="noindex, nofollow">
  <meta name="viewport" content="width=device-width, initial-scale=1.0" />
  <title>with their hippopotamus.</title>
  <!-- 额外混淆内容 -->
</head>
<body>
  <div class="header">
    <h1>Website Header</h1>
    <a href="page2.html">Page 2</a>
  </div>
  <!-- 内容已截断 -->
</body>
</html>

从 5 月中旬到 7 月下旬的主动监控中，研究人员识别出数千个类似 URL，遍布数百个域名，系统化部署以增加流量分析和检测难度。

社交媒体与机器人网络

社交平台（尤其是 X/Twitter）在放大 Doppelgänger 行动中发挥关键作用。

社交传播特征

机器人驱动传播
- 检测到 800+ 疑似账号都在发布指向一级跳转器的链接。
- 账号伪装为加密货币/Web3 网红，凭借“异常”互动量提升可信度。
多语种、内容多样化
- 机器人使用英语、法语、德语、波兰语、乌克兰语等多语言推文，扩大覆盖面。
混淆与多用途
- 某次事件中出现了 AI 生成的乐队仿作视频，讽刺巴黎奥运会；虚假信息与娱乐元素结合，削弱公众警觉。

对网络安全的影响

检测难度增加
内容和语言差异使传统垃圾信息检测效果有限。
机器人租赁或双重用途
机器人网络可能被租赁，也可能与加密诈骗活动交叉，使溯源与处置更加复杂。

真实案例分析

案例一：法国突袭议会选举

背景
2024 年 6 月法国突然举行议会选举，Doppelgänger 活动大幅升温。

观测

机器人账号发布带法语元数据的链接。
亦出现西班牙语、德语版本，暗示更广泛的欧洲策略。
跳转链保持一致，快速过渡至针对政治情绪的落地页。

分析
该行动展现了域名快速注册、跳转链灵活切换的能力，可在政治事件发生时迅速调整叙事。

案例二：AI 生成内容的误用

背景
常规网络监控期间，发现一段 AI 生成的讽刺巴黎奥运会音乐视频。

观测

视频通过看似无害的网红账号传播。
虽为娱乐形式，核心信息却在贬损公共机构。

分析
表明需将内容分析与行为分析结合，仅靠文本检测无法发现此类多媒体操纵。

防御措施与最佳实践

1. 威胁情报整合

多源情报：结合公共、私有和学术来源。
自动告警：在 SIEM 中部署 YARA、Sigma 规则监测 Doppelgänger 指纹。

2. 网络流量分析

深度包检测 (DPI)：发现异常 HTTP 头、Meta 跳转、快速重定向。
证书监控：跟踪自签名证书和默认发行信息。

3. 终端安全与行为分析

EDR/EPP 集成：监测与机器人活动相关的异常进程。
AI 驱动分析：利用现代平台关联 Doppelgänger TTP。

4. 用户意识与平台协作

培训计划：提升数字素养，识别可疑链接与操纵内容。
平台合作：与社交媒体协同，快速下架违规账号。

代码示例：扫描与解析 Doppelgänger 基础设施

Bash/Curl 扫描示例

#!/bin/bash
# scan_redirects.sh
# 用途：扫描 URL 列表并提取 meta refresh 跳转
# 使用方法：./scan_redirects.sh urls.txt

if [ $# -ne 1 ]; then
  echo "用法: $0 <urls_file>"
  exit 1
fi

URLS_FILE="$1"

if [ ! -f "$URLS_FILE" ]; then
  echo "文件 $URLS_FILE 不存在。"
  exit 1
fi

while IFS= read -r url; do
  echo "扫描 URL: $url"
  meta=$(curl -sL "$url" | grep -i "meta http-equiv='refresh'")
  
  if [ -z "$meta" ]; then
    echo "未发现 meta refresh: $url"
  else
    echo "发现 meta refresh: $meta"
  fi
  echo "---------------------------------------"
done < "$URLS_FILE"

Python 解析输出

#!/usr/bin/env python3
import re
import requests
from bs4 import BeautifulSoup

def fetch_html(url):
    try:
        response = requests.get(url, timeout=10)
        response.raise_for_status()
        return response.text
    except Exception as e:
        print(f"获取 {url} 失败: {e}")
        return ""

def extract_redirect_url(html):
    soup = BeautifulSoup(html, 'html.parser')
    meta = soup.find('meta', attrs={'http-equiv': re.compile('refresh', re.I)})
    if meta:
        content = meta.get('content', '')
        match = re.search(r"url=(.*)", content, re.IGNORECASE)
        if match:
            return match.group(1).strip()
    return None

def main():
    urls = [
        "http://example-redirect1.com/xyz123",
        "http://example-redirect2.com/abc456"
    ]
    
    for url in urls:
        print(f"获取 URL: {url}")
        html = fetch_html(url)
        if html:
            redirect_url = extract_redirect_url(html)
            if redirect_url:
                print(f"跳转目标: {redirect_url}")
            else:
                print("未发现跳转 meta 标签。")
        print("-" * 50)

if __name__ == "__main__":
    main()

结论

参考资料

通过保持信息通畅、部署稳健的检测机制，网络安全实践者可有效对抗此类新兴威胁，守护欧洲、美国及全球的信息生态系统。

欧洲与美国的替身信息行动报告

将您的网络安全职业提升到新的水平

欧洲与美国的替身信息行动报告

将您的网络安全职业提升到新的水平