核心摘要
- 19 岁美国-爱沙尼亚双重国籍公民 Peter Stokes(网络化名 “Bouquet”)被从芬兰引渡至美国,面临共谋、计算机入侵、电信欺诈及加重身份盗窃等联邦刑事指控。
- Stokes 被控为 Scattered Spider(散蛛)黑客组织活跃成员,该组织自 2023 年 3 月以来实施超 100 起网络入侵,累计勒索逾 1 亿美元加密货币赎金。
- 2025 年 5 月攻击一家奢侈珠宝零售商,通过冒充 IT 帮助台获取系统权限,窃取 100GB 数据后索要 800 万美元加密赎金,受害企业虽未支付赎金但仍因业务中断、取证调查和系统修复损失超 200 万美元。
- FBI 芝加哥外勤办公室主导调查,通过 Operation Riptide 跨国执法行动与芬兰国家调查局、国际刑警组织协作完成抓捕与引渡。
- 本案凸显美国司法部 CCIPS(计算机犯罪与知识产权科)对加密网络犯罪的全球追诉能力及加密持牌机构在网络安全防护、勒索软件应对方面的合规义务升级。
📑 文章目录
- 案件背景:从赫尔辛基到芝加哥 — Peter Stokes 的抓捕、引渡与首次出庭
- Scattered Spider 组织画像 — 攻击手法、历史目标与 CISA/FBI 联合预警
- 加密勒索的经济规模与执法升级 — 从 MGM 到 JLR,网络犯罪经济闭环
- 持牌机构的合规启示 — 网络安全义务、可疑交易报告与跨境执法协作
本文由 Aiying 艾盈合规团队原创,转载需授权。
2026 年 7 月 1 日,美国司法部(DOJ)公布了一份刑事起诉书,指控 19 岁的美国-爱沙尼亚双重国籍公民 Peter Stokes 作为臭名昭著的黑客组织 Scattered Spider 成员,参与了一系列针对美国企业的网络入侵与加密勒索活动。Stokes 于 2026 年 4 月在芬兰赫尔辛基机场被捕——当时他正试图登上飞往东京的航班——并于上周被引渡至美国,7 月 1 日在芝加哥联邦法院首次出庭后被下令继续羁押(DOJ 新闻稿,2026-07-01)。
一、案件背景:从赫尔辛基到芝加哥
抓捕与引渡
据 芝加哥论坛报 率先报道,Stokes 于 2026 年 4 月 10 日在赫尔辛基机场被捕,彼时 FBI 已对其立案侦查多时。芬兰当局依据 国际刑警组织红色通缉令 执行逮捕,DOJ 国际事务办公室(OIA)与芬兰国家调查局协调完成引渡程序(Cybernews,2026-07-02)。
指控内容
起诉书列出四项罪名:共谋实施电信欺诈、共谋实施计算机欺诈与滥用、电信欺诈 以及 加重身份盗窃。检方指控 Stokes 最早的一起攻击可追溯至其 16 岁时——通过说服一家在线通信平台的 IT 支持人员重置员工的双因素认证(2FA)获取初始访问权限,这体现了该组织对社交工程手法的早期依赖。
起诉团队
本案由 DOJ 刑事司 计算机犯罪与知识产权科(CCIPS) 副科长 Adrienne L. Rose 与伊利诺伊州北区联邦助理检察官 Jennifer Chang、Ann Marie Ursini 联合公诉。CCIPS 自 2020 年以来已成功定罪超 180 名网络与知识产权犯罪分子,并为受害者追回超 3.5 亿美元资金。
二、Scattered Spider 组织画像
多重身份与攻击手法
Scattered Spider 同时以 Octo Tempest、UNC3944、0ktapus、Scatter Swine 及 Muddled Libra 等多个代号被安全业界追踪。MITRE ATT&CK 框架将其收录为 G1015 号威胁组织,CISA 与 FBI 于 2025 年 7 月发布联合技术预警,详细披露其技战术演进(CISA Alert,2025-07-29)。
该组织的核心攻击链包括:
- 社交工程:冒充 IT 帮助台人员致电目标公司,诱骗员工重置凭证或绕过 MFA;
- 凭证窃取:通过钓鱼攻击获取 Microsoft Teams、Slack、Exchange 等企业协作工具权限;
- 横向移动:入侵第三方 IT 供应商,从单一突破口辐射多家客户企业;
- 数据加密与勒索:部署 DragonForce 等勒索软件变种,加密数据并威胁公开泄露,索要加密货币赎金。
历史重大攻击
Scattered Spider 自 2023 年起制造了多起震动全球的重大攻击:MGM 度假村与 凯撒娱乐(2023 年,拉斯维加斯)、英国零售商 Marks & Spencer(2025 年,造成超 3 亿美元损失)以及 捷豹路虎(2025 年,损失高达 25 亿美元)。该组织还以公开嘲笑 FBI 和受害者为乐——Stokes 本人曾在社交媒体炫耀一条镶钻的 “HACK THE PLANET” 项链,并将团伙成员 PS 进《黑道家族》剧照中。
三、加密勒索的经济规模与执法升级
超 1 亿美元加密赎金
DOJ 刑事司助理总检察长 A. Tysen Duva 在声明中指出,Scattered Spider 关联超 100 起网络入侵,累计勒索逾 1 亿美元加密货币,并对受害者造成额外数百万美元的附带损失。FBI 网络司助理司长 Brett Leatherman 强调:「Scattered Spider 反复针对美国企业,勒索员工,造成数百万美元损失,扰乱关键运营。」
Operation Riptide 框架
本案属于 FBI 的 Operation Riptide 持续执法行动的一部分,该行动针对网络犯罪的行为主体、基础设施和资金网络。2025 年美国民众报告的网络安全损失逾 200 亿美元,同比增长 26%,Riptide 是 FBI 对这一威胁的持续执法回应。2025 年,英国已逮捕 4 名 Scattered Spider 嫌疑人(均 17-22 岁),另有一名英国籍嫌疑人在西班牙落网。
跨国执法的信号意义
Stokes 案的特殊之处在于:嫌疑人从芬兰经国际刑警红色通缉令被捕、引渡至美国受审——全程涉及三个主权国家的执法协作。这向全球加密网络犯罪生态释放明确信号:美国对加密勒索犯罪的管辖权主张已不限于美国境内服务器或美国籍受害者,只要攻击对美国企业造成损害,DOJ 将通过 CCIPS + FBI 海外法务专员的组合拳实施跨国追诉。
四、持牌机构的合规启示
网络安全义务的实质化
对于持有 VASP 牌照、EMI 牌照、信托牌照 或 CMS 牌照 的加密业务机构而言,Scattered Spider 案将网络安全从「最佳实践」推向「合规硬约束」。各司法管辖区监管机构对持牌机构的网络安全要求正在从原则性陈述转向可执行的技术标准——例如香港 SFC 对 VATP 申请人的网络安保评估、新加坡 MAS 对 DPT 服务商的网络卫生通知以及欧盟 DORA 法案对加密资产服务商的 ICT 风险管理要求。
勒索软件应对预案
本案中受害珠宝商虽未支付赎金,仍因业务中断和调查修复损失超 200 万美元。对持牌机构而言,以下合规维度值得关注:
- 事件响应计划(IRP):多数牌照申请条件已要求提交 IRP,本案提示 IRP 须覆盖勒索软件场景,明确赎金支付决策流程(部分法域——如 OFAC 制裁合规——可能限制向受制裁实体支付赎金);
- 可疑交易报告(STR):机构如发现客户账户涉及勒索软件相关的加密资金流动,须按所在法域 AML/CTF 义务提交 STR,Scattered Spider 案中 FBI 正是通过追踪加密资金流锁定嫌疑人;
- 第三方供应商风险:Scattered Spider 已进化为通过入侵 IT 供应商间接攻击目标企业,持牌机构的外包合规审查须覆盖供应商的网络安全能力。
跨境执法协作趋势
Stokes 案的引渡成功标志着 Operation Riptide 框架下跨国网络犯罪执法的实战效能。对于在多个法域持牌的加密机构,这意味着:其一,任一法域的网络安全事件可能触发多法域监管机构同时问询;其二,FBI、欧洲刑警组织及其他执法机构的联合调查将成为常态——机构须确保跨法域的法律合规团队能够协调应对。
常见问题(FAQ)
Q1:Scattered Spider 案的加密赎金流向是否有被追回的可能?
DOJ CCIPS 自 2020 年以来已为受害者追回超 3.5 亿美元,且 FBI 具备链上追踪能力。但本案中超 1 亿美元赎金分散于多起攻击、多个钱包地址,追回难度显著高于单一案件。FBI 在起诉书中特别提及追踪加密资金流是锁定 Stokes 身份的关键手段,显示执法机构已具备相当程度的链上调查能力。
Q2:加密持牌机构应如何评估自身是否面临类似的社交工程攻击风险?
持牌机构应重点关注三个维度:IT 帮助台的凭证重置流程(是否有多因素验证身份的程序)、高权限账户的 MFA 策略(是否防钓鱼 MFA)、以及 第三方 IT 供应商的访问权限管控。CISA 2025 年 7 月的技术预警详细列举了 Scattered Spider 的 20 余项 TTP,可作为自查清单。
来源列表
- 📌 United States Department of Justice — Alleged Member of Criminal Cyber Hacking Group “Scattered Spider” Arrested in Finland and Extradited to the United States(2026-07-01,一手信源)
- 📌 Cybernews — Scattered Spider teen hacker “Bouquet” extradited to US to face charges(2026-07-02)
- 📌 吴说区块链 — Scattered Spider 成员 Peter Stokes 被引渡至美国,涉嫌勒索超 1 亿美元加密货币(2026-07-02)
- 📌 Crypto Briefing — Scattered Spider member extradited to US from Finland, DOJ says(2026-07-01)
- 📌 CISA — Updated Advisory on Scattered Spider Group(2025-07-29)
- 📌 MITRE ATT&CK — Scattered Spider (G1015)


