屏幕上的倒计时停在三秒。
林晚的手指悬在确认键上方,没有按下。连接自动断开,那串境外Ip彻底消失,如同从未出现过。她收回手,转向通讯终端,指尖轻点,接通市场团队频道。
主屏切换为舆情分析界面,热力图铺满视野。红斑密集分布在几大社交平台,话题标签不断翻涌。她一眼看出异常——这些负面内容看似由不同账号发起,时间跨度长达七十二小时,但关键词植入的节奏完全一致,情绪爆发的时间点也高度重合,像是被同一根线牵动的木偶。
“不是自然发酵。”她开口,声音不高,却让频道另一端的讨论声戛然而止,“是批量操控。”
苏悦从数据堆里抬起头,耳机还挂在耳边:“我们试了常规溯源,Ip跳转超过二十层,注册信息全是伪造的。水军账号像沙子一样撒出去,抓不完。”
“那就别追Ip。”林晚调出三个账号的历史发言记录,并列投影,“查行为痕迹。错别字、标点使用习惯、段落间距、回复间隔……这些细节改不了。”
她放大其中一段评论。句尾多了一个空格,紧接着是连续两个感叹号,语气强烈却不显突兀。另一个账号在凌晨三点十七分发布的内容中,把“已经”打成了“以经”,同样的错误在三天前的一条私信截图中也出现过。
“有人在用固定模板批量生成内容。”她说,“找模板的破绽。”
苏悦立刻组织人手筛查互动数据。两小时后,一条线索浮出水面——三个疑似核心账号曾在同一个边缘自媒体直播回放的评论区出现,彼此无交集,却在同一分钟内回复了同一条无关紧要的留言:“这个说得对!!”
奇怪的是,这条回复附带一个短链接,现已失效。
“太刻意了。”苏悦皱眉,“正常用户不会在这种冷门视频下统一行动,还留链接。”
技术组尝试还原跳转路径。经过三层缓存提取和协议模拟,终于定位到原始接口——某第三方支付平台的测试环境,曾用于小额转账验证。这类平台常被黑产用来结算水军酬劳,但交易记录早已清除。
就在准备放弃时,系统在日志底层捕获到一段加密通信残留。数据包不完整,仅有头部和签名字段。
“签名格式有问题。”技术人员迅速比对,“这不是标准协议,倒像是某种变种,带自定义校验逻辑。”
林晚走近主控台,仔细查看那串编码结构。字段排列方式陌生,但某些设计思路让她感到熟悉。她没说话,只是将图像定格,转身看向苏悦。
两人视线相接。林晚悄然启动“心灵洞察之镜”。
瞬间,对方脑海中浮现的情绪清晰可辨——不是单纯的发现喜悦,而是夹杂着警惕的兴奋。她在反复提醒自己:不能声张,不能急,这可能只是诱饵。但她内心深处有一股压不住的冲动,想立刻顺着这条线挖下去,哪怕冒险。
林晚收回目光,点头:“继续深挖签名来源,范围控制在现有权限内。不要调用外部接口,也不要标记重点追踪。”
“怕打草惊蛇?”
“更怕他们知道我们看见了。”
频道关闭后,她坐回主位,重新调取那段残留日志。解析程序正在运行,进度条缓慢爬升。她盯着那串数字签名,手指无意识地在桌面上划动,复写着其中几个关键字段的排列顺序。
这种结构,她见过。
不是在公开资料里,而是在一次内部审计报告中。那份报告后来被归档封存,理由是“证据不足”。但当时负责提交材料的人,在汇报中途突然改口,称数据有误。
那个人的名字,她至今记得。
而现在,同样的签名逻辑,出现在攻击云都系统的水军支付日志里。
巧合吗?不可能。这是疏忽,是破绽,是一个本不该出现在这里的痕迹。
她起身走到大屏前,将残缺的日志编号圈出,旁边标注三个问号。随后打开权限面板,锁定调查范围,设置访问层级为仅限核心成员,操作日志自动加密归档。
“我们现在手里只有一块拼图的边角。”她对着会议室说道,声音平稳,“公布它,敌人会立刻切断所有通道,换新身份重新来过。到时候,我们连呼吸声都听不到。”
有人提出异议:“可舆论压力越来越大,公众已经开始质疑我们的应对能力。再不反击,信任度会崩盘。”
“我们要的不是一时清白。”她打断,“是要让他们再也站不起来。”
她环视众人,目光停在苏悦脸上:“缩小调查范围,专注这个签名背后的服务器跳转路径。我要知道它最后一次激活的时间、地点、接入设备型号。不求完整,只要一点物理接触的证据。”
苏悦记下指令,神情凝重。
林晚回到座位,再次打开解析界面。进度条停在百分之六十七,突然开始加速。系统提示:检测到相似协议库匹配项,建议关联检索。
她点了同意。
数据库返回三条结果,全部来自近三年内的匿名举报材料,均未立案。其中一条的备注写着:“疑似关联境外非注册组织,缺乏实证,不予受理。”
她点开附件预览。页面加载到一半时,主屏右下角弹出一条新警报——
市场监测系统捕捉到一组新注册账号群,行为模式与此前三名核心操控账号高度一致。发布时间集中在夜间十一点至凌晨一点,语言风格相同,连标点使用习惯都未更改。
但这一次,其中一个账号在首次发言后,短暂登录了一台位于城东数据中心的测试机,停留四十七秒,随即注销。
林晚盯着那台设备的编号。
那是家民营云计算服务商的闲置资源池,对外出租算力,不审核具体用途。
她调出该设备最近三十天的使用记录。大部分时间处于空闲状态,但在过去一周内,有三次短时激活记录,每次间隔四十八小时,操作指令均由远程发送,来源Ip已被覆盖。
她将三次时间点标记出来,与之前攻击事件的发生时间对照。
第二次激活,正好在科研室系统首次崩溃的前一个小时。
她的手指停在屏幕上。
就在这时,解析程序发出提示音。加密日志的完整结构终于被部分还原。系统在末尾识别出一个隐藏字段,内容是一串十六位字符,格式不符合任何已知编码规则。
但林晚认得这种排列方式。
这是内部代号的生成逻辑。
只有特定级别以上的项目组才会使用。