江城市公安局,309会议室——“打击新型黑恶势力专班”的临时总部。这里与广州前线指挥部的凝重、林岚办公室的缜密不同,空气里弥漫着一种更加“极客”的气息。多屏工作站嗡嗡作响,冷却风扇全力运转,空气中飘散着淡淡的臭氧和速溶咖啡混合的味道。白板上不再是人物关系图,而是写满了各种IP地址、域名、服务器代码片段、网络协议分析图和加密算法推测。
赵刚站在梁浩身后,看着他如同弹钢琴般在几个键盘间飞速切换,屏幕上的命令行窗口滚过瀑布般的代码和日志数据。专班的其他成员,沈冰、王猛、孙小慧、陈建国等人,也都围绕在各自的屏幕前,紧张地处理着来自不同渠道的信息流,但所有人的注意力,都时不时被梁浩主屏幕上的进展所吸引。
“赵支队,广州那边传来的‘鑫源’部分后台数据镜像,我们已经完成了初步的深度扫描和关联分析。”梁浩头也不回,声音带着熬夜后的沙哑,但语速极快,“刘志远比我们想象的还要狡猾。他们的核心业务服务器做了严格的网络隔离和跳板设置,所有对外的通讯,包括与那些外包催收公司、支付通道、甚至部分‘白手套’公司的指令传递,都通过多层代理和加密隧道进行。直接从数据包里提取目标IP,几乎不可能。”
赵刚眉头紧锁:“一点办法都没有?”
“有,但需要点时间,还要点运气。”梁浩切换到一个复杂的网络拓扑图,“我们换了个思路。不从他们的‘出口’找,从他们的‘入口’和‘习惯’找。”
他放大拓扑图的一角:“第一,用户入口。‘鑫源’所有的借贷APP和网站,虽然最终指向云服务器,但在用户注册、登录、提交资料等关键环节,有多个隐藏的、用于数据采集和风险初筛的域名和IP。这些入口相对固定,且安全防护等级不如核心服务器。我们通过模拟海量用户行为进行压力测试和漏洞扫描,结合历史DNS解析记录,已经锁定了其中三个疑似用于后台管理或数据同步的隐蔽入口IP。它们的位置……”梁浩敲击键盘,地图上弹出三个光点,“一个在深圳本地,一个在贵州某数据中心,一个在境外(新加坡)。”
“第二,运维习惯。”梁浩调出另一组数据,“再严密的系统也需要人工维护。我们分析了‘鑫源’被黑入的子公司网站(已废弃)的历史日志,发现其早期的技术维护人员,习惯使用某些特定的远程管理工具和固定的家庭宽带IP段进行夜间维护。虽然现在肯定换了,但这种个人习惯很难彻底改变。我们通过大数据关联,筛选出与这些历史IP段存在‘社交网络关联’(如注册过同一个技术论坛、使用过同款小众软件)的、当前活跃在深圳及周边地区的可疑IP集群,进行重点监控。”
屏幕上出现了一个动态的IP监控列表,几十个IP地址在不断闪烁,旁边标注着实时流量特征、关联设备信息(MAC地址、设备类型)和地理位置估算。
“第三,也是目前最有希望的一条线,”梁浩的声音压低,带着一丝兴奋,“林岚书记那边不是发现了疑似向王浩信托输血的七家壳公司吗?沈冰组长同步过来了这七家公司的公开联系方式、注册邮箱、以及部分通过工商渠道查到的早期联络人手机号(可能已停用)。我们正在对这些电子痕迹进行反向追踪。”
他打开一个正在运行的脚本界面:“我们假设,刘志远为了控制这些分散在各地的壳公司,必然需要与它们的实际控制人或财务人员进行通讯。这种通讯,不可能完全依赖线下,一定会留下电子痕迹,哪怕是通过加密通讯软件。我们利用这些已知的联络点(邮箱、手机号),在其可能活跃的社交平台、商务平台、甚至暗网论坛进行‘数字画像’碰撞,寻找与之关联的、未公开的即时通讯账号、网络硬盘账号或其他数字身份。一旦找到,就有可能顺藤摸瓜,定位到用于指挥这些壳公司的、更接近刘志远核心圈的设备IP。”
赵刚听得非常认真。这就是新型犯罪侦查的特点,战场在虚拟空间,武器是数据和算法。
“进展如何?”他问。
“有发现,但还不确定。”梁浩调出一个刚刚弹出的警报,“三分钟前,我们对一个与湖南某壳公司已停用手机号关联的、某个小众加密通讯应用的疑似账号进行了监控。该账号在过去一小时内,有间歇性的微弱信号发出,试图连接服务器,但似乎因为网络环境或反侦查措施未能成功建立稳定连接。我们正在尝试通过信号强度和周边基站数据,三角定位其大致物理区域。初步估算……”地图上,一个模糊的光圈在湖南省岳阳市边缘地带闪烁。
“岳阳?”赵刚眼神一凛,“周大虎的地盘,也是暴力催收公司聚集地。”
“对。而且这个信号特征,与我们之前监控到的、疑似‘深海’项目组(软暴力催收)用于指挥外包催收团队的部分加密信道特征,有相似之处。”梁浩快速对比着数据,“可能不是刘志远本人,但很可能是其核心指令传达链条上的一个关键节点。”