2026年2月28日，美军启动“史诗之怒行动”（Operation Epic Fury），与以色列“雄狮咆哮行动”协同，对伊朗境内军事目标发动空袭。外界关注的焦点是导弹和无人机的攻防，但在看不见的数字空间，另一场战争早已打响。在美军投下第一枚炸弹的6个月前，伊朗的黑客们就已经在搭建他们的“数字桥头堡”了。

一、蓄谋已久的网络战

传统认知中，网络攻击往往是“军事行动的伴随之物”——炸弹落地后，黑客才开始行动。但美国网络安全公司Augur Security最新发布的研究报告揭示了一个截然不同的图景：伊朗黑客组织在美以空袭前6个月内，进行了密集的基础设施预置，也就是说这不是即兴的反击，而是蓄谋已久的准备。Augur的分析显示，伊朗威胁行为体的基础设施获取模式经历了三个阶段演变：

第一阶段（2015-2019年）：直接分配，稳定可测。

第二阶段（2019-2022年）：转向防弹主机、空壳公司。

第三阶段（2020年至今）：防弹主机周边基础设施，分散隐匿。

2025年9月，与伊朗情报与国家安全部（MOIS）有关联的MuddyWater组织，在72小时内被标记出7个CIDR的新基础设施。这些基础设施分布在三个不同的提供商——AS62005 BV-EU-AS（爱沙尼亚注册）、AS62240 Clouvider（英国注册）、AS203020 HostRoyale（印度注册/位于阿尔巴尼亚）。这不是巧合，而是刻意的提供商多元化战略——防止单一来源被切断导致整个行动瘫痪。紧接着，2026年1月，又一轮基础设施扩张被检测到，此时距离2月28日的空袭仅剩一个月。

二、三层隐匿架构：伊朗APT的“数字堡垒”

为什么伊朗的APT（国家黑客组织）能如此从容地预置基础设施？答案藏在他们精心设计的多层隐匿架构中。

第一层：本土掩护。 起点是位于德黑兰的伊朗ISP和托管公司Sefroyek Pardaz Engineering，为整个行动提供本土掩护。

第二层：防弹主机。 通过防弹托管提供商，如摩尔多瓦的ALEXHOST和怀俄明州的空壳公司RouterHosting LLC，为基础设施提供“防弹”保护。

第三层：空壳公司嵌套。 进一步通过空壳公司混淆溯源。例如Cloudblast，在美国注册但实际在迪拜运营，流量经荷兰上游提供商路由。UltaHost则采取美英双重注册结构。

三、空袭之后：60+黑客组织的“协同反击”

美以空袭切断了伊朗境内的互联网连接，但这并未削弱伊朗APT的作战能力。空袭发生后24小时内，一个“电子作战室”迅速建立，协调估计60多个黑客组织进行报复行动。攻击目标主要集中在美国、以色列以及被认为是“协助国”的海湾国家。

四、SD-WAN的安全启示：攻击者盯上网络控制面

伊朗APT的战术演变给企业网络安全带来深刻启示，尤其值得关注的是攻击者正在将目标瞄准网络基础设施的控制层面。

2026年2月，Cisco披露了其Catalyst SD-WAN产品的重大漏洞CVE-2026-20127，评分为CVSS 10.0（严重）。该漏洞允许未经身份验证的远程攻击者绕过验证，任意篡改SD-WAN网络架构配置。更令人担忧的是，Cisco Talos已将利用该漏洞的攻击活动归因于一个名为UAT-8616的威胁组织——调查显示，利用活动至少可追溯到2023年。

一旦攻击者控制了SD-WAN控制器，就可以注入恶意节点、修改配置、创建后门，而企业对此一无所知。

五、从“数字桥头堡”到网络韧性：企业如何应对？

伊朗APT的案例揭示了一个关键趋势：国家级攻击者正在从“一次性入侵”转向“长期基础设施预置”。这对企业的网络安全防御提出了新要求：

1. SD-WAN安全：从“连接”到“控制”。 企业在选择SD-WAN方案时，需要审视控制器的身份验证机制是否健壮，是否存在纵深防御。
2. 基础设施的可视化与威胁狩猎。 防御者需要具备更强的基础设施测绘能力，对恶意IP和CIDR进行早期识别。
3. SASE与零信任：从“边界防护”到“身份与行为基线”。 在协同化APT威胁面前，SASE架构的ZTNA能力将安全焦点从网络边界转移到用户身份和行为上。
4. 供应链与托管服务的安全审视。 不能仅凭“注册地”判断供应商的可信度，对关键网络设备和服务的供应商进行深度安全评估已成为必修课。
   
   

结语：数字空间的“战争迷雾”

美以对伊朗的空袭是一次传统的军事行动，但伊朗的回应却揭示了一个新现实：物理空间的打击很难彻底削弱一个国家的网络战能力。

对于企业而言，这一教训尤为深刻：在攻击者开始搭建“数字桥头堡”的时候，就已经在战场上了，唯一的防御，是在和平时期就建立起足够的网络韧性。