本报告由数世咨询 & 零零信安 共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《全球数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2026年2月。 

一、数据泄露市场

2026年2月共监控到全球DWM（Dark Web Market）情报：

•  深网和暗网有效情报127,967份；

• 泄露数据的高价值买卖情报5,052份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据596份，其他数据泄露较多的国家还包括法国、印度、印尼、德国、巴西、西班牙等。详情如下图所示：

2、行业分类

2月份行业属性数据占泄露数据总量约88%左右，泄露的行业数据主要包括信息和互联网行业、金融行业、党政军和社会、制造业、卫生医疗业等。12%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3、泄露数量

2月份泄露的数据中包含数份数十亿三要素日志数据、数十份数十亿二要素数据、十亿条个人邮箱电话数据泄露，除上述数据外，全球整体数据泄露量达到数百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

二、事件抽样分析

1、西班牙国家警察（CNP）与国民警卫队（Guardia Civil）数据泄露

发布时间：2026.2.28

泄露数量：

售卖/发布人：PoliceEspDoxedBF

事件描述：2026.2.28某暗网数据交易平台有人宣称正在售卖一份西班牙国家警察（CNP）及国民警卫队（Guardia Civil）数据，卖家称此份数据含大量警员信息，数据涉及policia.es与guardiacivil.es系统管理面板登录凭证，覆盖各警衔及年龄段人员，数据包括：姓名、DNI身份证号、官方邮箱、私人邮箱、手机号码、固定电话、出生日期、家庭住址、银行信息、IBAN账号等。

2、巴勒斯坦*家安全*队指挥与控制（C2）基础设施数据泄露

发布时间：2026.2.27

泄露数量：

售卖/发布人：CVDEAD

事件描述：2026.2.27某暗网数据交易平台有人宣称已成功渗透巴勒斯坦权力机构服务器，获取其指挥控制基础设施完整管理权限，卖家称将分批泄露数据，内容包括：全部机密文件备份、完整API密钥与管理权限、邮件通信数据库、SSL 证书、以色列辛贝特负责行动指挥官员联系方式、提供培训的MI6特工信息、安全行动详细记录、行政拘留人员完整名单、行政及工作人员账号等。

3、乌克兰 DIU 与 CIA 情报数据泄露

发布时间：2026.2.23

泄露数量：

售卖/发布人：Shinypro

事件描述：2026.2.23某暗网数据交易平台有人宣称正在售卖一份乌克兰国防部情报局（DIU）及美国中央情报局（CIA）相关情报数据，卖家称此份数据以两部分链接形式托管于外部平台，数据涵盖2025年10月至2026年2月的核心机密文件，卖家称此份数据包括：训练计划（GO-12）、2026 年作战计划、ROVER 系统资料、Anydesk 后门程序、奖励与支付报告模板等核心数据。

4、法国多情报安全机构人员个人数据泄露

发布时间：2026.2.20

泄露数量：2,393

售卖/发布人：HexDex

事件描述：2026.2.20某暗网数据交易平台有人发布法国执法部门相关泄露信息，发布者称数据来自400多个泄露及隐私数据源，针对警方不当行为，公布2393条法国政府特工完整信息，数据字段包括：姓名、出生日期、性别、国籍、状态、地址、电话、邮箱、执照信息、所属机构、缴费信息、医疗证明、许可日期等。

5、美国警察培训网站Nemrt.com数据库泄露

发布时间：2026.2.3

泄露数量：2,000

售卖/发布人：Sythe

事件描述：2026.2.3某暗网数据交易平台有人宣称正在售卖一份美国警察培训网站Nemrt.com数据库，卖家称此份数据共2000条，涉及近2000名用户，卖家称此份数据包括：全名、明文密码、用户名、UID、社保号后四位、23个独立邮箱地址、PTBID、供应商编号、联系电话、创建信息、更新信息、登录IP、密码盐值、刷新令牌、历史密码记录、签名信息、机构管理员权限、审批日期。

6、中国******有限公司数据泄露

发布时间：2026.2.28

泄露数量：12,539

售卖/发布人：PalincaXIX

事件描述：2026.2.28某暗网数据交易平台有人宣称正在售卖一份中国网络安全公司*****敏感数据，卖家称此份数据包含多类文件及记录，其中人员清单471条、顾客基础信息7250条、交易收支记录2797条、123.csv文件2021条、扫描数据53个文件，另有攻防对象压缩包、VPS 信息、海外代理 IP、大客户名单、窃取数据、其他合同压缩包等，卖家称此份数据包括：所属公司、部门、工号、姓名、工资表部门编码、工资表部门全称、电话、出生日期、身份证号码、公司邮箱地址等核心信息。

7、中国*****集团股份有限公司数据泄露

发布时间：2026.2.26

泄露数量：

售卖/发布人：Moneyistime

事件描述：2026.2.26某暗网数据交易平台有人宣称中国*****集团股份有限公司将于次日上午开始上传相关数据，卖家称此份数据涉及中国*****集团股份有限公司相关资产，涵盖163台 ESXI、15台LINUX、40台PC、8台NAS、4台云端服务器，数据总大小达12PTB，其中ESXI相关数据量为9PB，另有24TB、83TB、多份9TB、两份16TB 等不同量级的相关数据。

8、中国*****有限公司数据泄露

发布时间：2026.2.23

泄露数量：

售卖/发布人：SnowSoul

事件描述：2026.2.23某暗网数据交易平台有人宣称公开一份中国*****有限公司、中国*****有限公司ID-1252 相关数据，卖家称此份数据含两个压缩文件，大小分别为38.59MB、1.2GB，卖家称此份数据包括：ID-1252相关数据文件、LDCRM 备份文件。

9、中国人******数据泄露

发布时间：2026.2.25

泄露数量：

售卖/发布人：Jon1234

事件描述：2026.2.25某暗网数据交易平台有人宣称售卖中国人*******区组织架构等相关数据。

10、中国公******数据泄露1573045行

发布时间：2026.2.9

泄露数量：1,573,045

售卖/发布人：303

事件描述：2026.2.9某暗网数据交易平台有人宣称正在售卖一份中国公******车牌管理相关完整数据库，卖家称此份数据包括：车牌号码、图片上传信息、IP 地址、车辆颜色、相关编码、采集时间等车牌管理核心记录。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2026年2月全球活跃的商业黑客组织（有勒索发布行为）共53个，公开的勒索事件共 804 件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的70%，如下所示：

2、黑客组织活度趋势

 下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2026年2月）达到一年前统计前端（2025年3月）的106.5%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

1)美国萨福克市

商业黑客组织Cloak在 2026/2/25 公布了美国萨福克市（City of Suffolk）被勒索的信息。萨福克市是美国弗吉尼亚州的地方政府机构，负责市政管理、公共服务、居民信息系统及政务运行等关键城市治理工作，承担地方行政、公共安全、民生服务等核心职能。截止本篇报告发出之时，黑客组织Cloak尚未发布更多关于美国萨福克市的数据。

3)法国富梅尔市政厅

商业黑客组织 DragonForce 在2026/2/13公布了法国富梅尔市政厅（MAIRIE DE FUMEL）被勒索的信息。富梅尔市政厅是法国富梅尔市的地方行政机构，负责市政管理、公共服务、居民信息系统与政务运行，承担城市治理、公共服务、民生保障等核心职能。截止本篇报告发出之时，黑客组织 DragonForce 尚未发布更多关于法国富梅尔市政厅的数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。

以下为本月涉及中国企业的勒索事件说明：

5、典型黑客组织简介（The Gentlemen）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media、space bear、killsec、fog、Funksec、Babuk-Bjorka、Hellcat、Babuk2、NightSpire、Dragonforce、Handala、D4RK4RMY、Warlock、World Leaks、sinobi 、Interlock、Qilin、Anubis如需了解请翻阅往期报告。

本期为您介绍的是The Gentlemen黑客组织，The Gentlemen是一个新兴的勒索软件黑客组织，目前被认为是2025年中至2026年期间网络犯罪领域增长最快、最具技术成熟度和破坏力的团伙之一。The Gentlemen于2025年7月左右开始开发迹象，8月正式被观察到活跃攻击（最早受害者可追溯至2025年6月底），该组织采用双重勒索策略：先通过凭证滥用、暴露服务漏洞、初始访问向量窃取数据，然后部署加密器，并在Tor暗网泄露站点威胁公开数据以施压受害者。该组织以RaaS模式运营，提供附属程序招募。该程序技术高度激进，用Go语言开发，能跨平台攻击Windows、Linux和ESXi系统，内置BYOVD（Bring Your Own Vulnerable Driver）机制、自定义反AV工具、组策略对象（GPO）滥用实现域范围持久化和破坏、删除影子副本/备份、进程终止等。攻击链常从凭证窃取/暴力破解、暴露面板初入开始，随后横向移动、权限提升、侦察特定安全产品、定制绕过工具、数据外渗，再部署加密负载（文件扩展名“.7mtzhh”，需密码参数激活，勒索信“README-GENTLEMEN.txt”）。部分研究员认为其可能为资深团伙重新品牌化，或从RansomHub碎片、其他RaaS经验演员衍生（早期论坛活动显示测试Qilin、LockBit、Medusa等），共享高级战术特征，使其迅速超越许多新兴RaaS。

截至2026年3月初，The Gentlemen已声称多个受害者，主要针对全球17+国家/地区（亚太、南美、北美、中东、欧洲等，包括泰国、美国、印度、墨西哥、哥伦比亚、罗马尼亚、毛里求斯、秘鲁等），重点行业包括制造业、建筑、医疗保健、保险、金融服务、能源/公用事业、航空/国防部件、消费服务及关键基础设施，常造成数据永久加密的风险、运营全面中断（包括ERP、邮箱、网站瘫痪）、备份破坏和监管合规问题。典型案例包括对罗马尼亚能源巨头奥尔特尼亚（导致全国30%电力不稳）、毛里求斯金融公司Rogers Capital、美国航空部件供应商Triumph Group、秘鲁钢铁公司JN Aceros等攻击，常伴随数TB数据外泄威胁和针对OT重行业的适应性提升。

下图为The Gentlemen所运营的数据泄露网站：

下图为The Gentlemen的勒索页面：

The Gentlemen留有联系方式：

如勒索不成，会把他们获取到的全部受害者数据上传到他们运营的数据泄露网站上：

四、匿名社交社群

2月份监控到匿名社交社群情报总数量10,245,797条，提供的有效数据泄露样例下载3,606份。涉及到我国数据泄露的内容包括：快递信息、银行信息、学生信息、就医信息、打车信息、退休人员信息、医护信息、车主信息、网贷信息、投资信息等众多类型。以下随机选取展示部分样本：

据仅为在匿名社交社群中，攻击者展示的样例数据，每份样例会提供数十至数百条不等。即：匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右，全数据量估算在1000万条以上。

此外，检索到2月份使用匿名社交软件的活跃用户中，以“86（我国区号）”开头的手机号共发信息2,438条。使用匿名社交软件的用户，不会受到实名监管，其目的性值得考虑。以下为2月份使用“86”开头的手机号的TOP 10信息：

注：本篇内容中的数据均为暗网交易平台卖家宣称内容，数据真实性、实际泄露范围未经过权威核实，仅作为网络安全风险态势分析参考，不构成事实认定依据。

若需要暗网情报数据泄露监测服务，请与零零信安联系:

* 如果您对《全球数据泄露态势月度报告》有任何问题或意见，包括引用、指正或合作，请通过电子邮件 dw@dwcon.cn 与我们联系。

0311【数世咨询】全球数据泄露态势月度报告（2026.03）.pdf