涉案超2000万！中国黑客团伙在新加坡租豪宅，盗取政府机密，主谋在洗钱案爆发前逃离

周三（11月5日），三名中国籍黑客因在新加坡组织网络犯罪活动落网，均被判处2年以上监禁。但其组织者却在30亿洗钱案爆发前夕逃离新加坡。警方在抓捕过程中缴获超过2200万新币的资产，包括现金、存款、车辆和加密货币，甚至查获外国机密邮件。

出海再“就业”

事情要从2022年说起。当时，正值中国疫情期间。被告严某（38岁）拥有IT背景，曾经营过企业网站制作业务；刘某（32岁）则是网页设计师；黄某同样具备技术能力。三人彼此相识，也都认识一名瓦努阿图籍公民许某（38岁）。

许某邀请他们来新加坡为他工作，三人接受了这个提议。

许某通过另外一家公司为三人安排了伪造的工作准证用来入境。严某的名义职位是“销售代表”，黄某和刘某的身份则是“建筑工”。被告们当时并不知道他们的工作准证是假的，他们认为许某会搞定一切。

2022年9月初，被告三人入境新加坡。他们被带到许某的“办公场所”，了解所谓的“公司业务”，其实是为了统一口径以应付政府部门的问询。事实上，他们根本没有从事相关的工作。

至此，被告三人应已经知道他们的身份是伪造的了。既然都知道许某骗了他们，为什么三人会走上犯罪的道路呢？

白给要不要

案情显示，从2022年9月到2023年5月将近大半年的时间，他们住在许某安排住处，而且没有安排他们任何工作，所有开销都由许某承担。

2023年春节期间，三人还都回中国过了个年。于同年5月才返回新加坡。此时，许某才正式向他们提出了工作要求。

住豪宅，领高薪的“技术团队”

许某指示他的下属陈某花费3.3万新元为三人租下了西乃山区的一栋豪华洋房，由陈某以现金支付。陈某还负责安排后勤事务，包括聘请外籍劳工为他们做饭和打扫卫生。

通过陈某，许某为三人提供日常开销。除此之外，为了维持公司账面上的就业表象，从2024年初开始，三人每月还能收到约2000新元的“工资”。

2024年9月5日，三人还询问许某是否会为他们的工作付费。许某随后向刘某转账了价值300万美元（约391万新币）的加密货币（泰达币）。

三人将大部分资金平分，还给孙某也分了一份。在严某被捕时，警方从他身上查获了约5.2万新元现金。

目标：赌徒

许某终于开始安排三人的具体工作了。

他的目标是那些访问非法赌博网站的用户，因为许某自己就运营了一个线上赌博平台。

为了推广自己的赌博平台以及在赌博中获得不公平优势，他需要从现有赌博网站窃取用户数据，包括姓名、电子邮箱、电话号码、IP地址和账户凭证等。

随着业务的推进，许某找到了获取目标用户资料最短的路径——短信服务公司。他锁定中国的一家“亿美”短信服务公司，因为这家短信服务商的客户中有赌博网站。

三人分工明确，工作流相当专业：

严某专注于Linux系统，黄某负责网页端，刘某主攻Windows系统，几乎全平台覆盖。通过收集域名信息、扫描漏洞、分类评估后，利用远程访问木马提取数据，并将结果报告给许某。

此外，他们还会定期咨询另一名中国籍黑客，孙某。孙某也在新加坡，但属于单飞状态，他经营自己的数据中介业务。

为了提高的工作效率，他们还委托其他开发者为他们开发基于网页端的定制化程序。不过，没等程序开发完成，他们就已经落入法网。

号称规避政府网站，但仍有政府数据

2024年9月9日，警方突击搜查了西乃山的豪宅，三人被捕。距离他们瓜分300万美元的加密货币仅过去4天。

被告三人很清楚自己行为违法，所以相当低调。在获取信息的过程中，刻意避开所有新加坡的网站，同时也避免攻击政府网站引起警方的注意。但他们对攻击海外网站或非法赌博网站没有异议。

尽管声称避开政府系统，警方在黄某的电脑中，发现了包含来自菲律宾一家地区电力公司的姓名、地址、电话号码和账单信息。还有五个来自澳大利亚、阿根廷和越南的政府域名；而另一台笔记本电脑则包含哈萨克斯坦外交部和工业与基础设施发展部官员之间的一封机密电子邮件。

国家级黑客工具的发现

警方在整个案件中起获了超过2200万新元的资产，包括现金、存款、车辆和加密货币，并对四处总值超过3000万新元的房产发出禁止处置令。

此外，警方在三人的设备上发现了大量黑客工具和恶意软件，其中两种特别引人注目。

PlugX恶意软件

在刘某的电脑中，警方发现了14个与PlugX相关的木马。在颜某的设备中，发现了一份包含可连接至PlugX服务器凭证的IP地址文件。在黄某的设备中，则检获三种有效载荷编写器，其中一款可用于生成与PlugX相关的载荷。

PlugX是一种复杂的远程访问木马，可按需加载窃密，记录键盘和截图等功能。这种工具被一些与中国有关联的高级持续性威胁组织（APT）或黑客团体广泛采用。

Shadow Brokers（影子经纪人）

警方还在三人的设备上发现了与Shadow Brokers相关的恶意软件。Shadow Brokers是一个黑客组织，2017年，他们泄露的一个漏洞导致了全球范围的WannaCry勒索软件攻击。

法院判决

虽然在他们的设备上发现了PlugX等与国家级黑客组织相关的工具，但三人否认了解或与任何APT组织有关。

检方指出，虽然三人是为许某工作的“基层”，但他们拥有关键技能，是许某非法网络行动的主要引擎。

此外，尽管该犯罪团伙没有直接以新加坡为目标，但以新加坡作为非法活动中心，仍然对国家声誉造成了损害。

法官在下判时说，刑罚必须起到阻吓作用，以维护并巩固新加坡作为安全、可信赖的数码枢纽的地位，也明确无误地向企图在新加坡建立或拓展跨国犯罪活动的人发出警告。

三人各面对五项控状，包括抵触滥用电脑法令、有组织罪案法令和贪污、贩毒和严重罪案（没收利益）法令。三人还因向人力部谎报虚假就业信息而犯下额外罪行。

最终，严某和黄某被判入狱28个月又一周，刘某被判入狱28个月又四周。

涉案的孙某和陈某将在2026年1月13日进行认罪聆讯。而犯案主谋许某则在2023年8月离开新加坡，目前仍然在逃，距离警方大规模逮捕30亿洗钱案人员的时间不过间隔数天。