摘要：说起网络间谍，总觉得像猫捉老鼠的游戏，可美国国家安全局那边的玩法，远比咱们想象中阴险得多。早在2000年代中期，他们的定制访问行动部门就开始琢磨怎么搞定那些物理隔离的网络，那些系统断了网，数据却藏着国家机密，防火墙再牛也挡不住物理接触。

说起网络间谍，总觉得像猫捉老鼠的游戏，可美国国家安全局那边的玩法，远比咱们想象中阴险得多。早在2000年代中期，他们的定制访问行动部门就开始琢磨怎么搞定那些物理隔离的网络，那些系统断了网，数据却藏着国家机密，防火墙再牛也挡不住物理接触。

结果呢，他们搞出了个叫COTTONMOUTH的玩意，翻译过来就是“水腹蛇”，听名字就渗人，像蛇一样钻进别人家后院。

这个东西的来头，得从2007年说起。那时候，NSA的工程师们在马里兰州总部埋头苦干，实验室里堆满电路板和天线原型。他们发现，单纯靠软件漏洞不够用，得来硬的——硬件植入。

COTTONMOUTH系列就这样诞生了，第一代COTTONMOUTH-I，外形就是个小USB插头，体积小得能塞进钱包，重量还不到10克。里面塞了射频发射模块，能把数据无线传出去，远达8英里，接上个叫NIGHTSTAND的中继站，那中继站像个手提箱，藏哪都行。别小看这距离，在城市里够他们从街对面就把信号捞走。

再后来，升级到COTTONMOUTH-II和III，这些型号加了恶意代码注入的功能。简单说，就是不光偷数据，还能往目标机器上塞后门，让NSA随时回访。成本也不低，一套设备上万美元，批量买50个得125万刀，可见他们砸钱的心思。

2013年斯诺登把这些文件抖出来，全球哗然，那份2008到2009年的设备目录，列了上百种植入工具，COTTONMOUTH名列前茅。NSA的TAO部门——就是定制访问行动——负责这些，员工上百，专攻全球关键基础设施，从军用到金融，全是他们的菜。

物理隔离网络本是为安全设计的，结果被这种伪装货色钻了空子。COTTONMOUTH不靠互联网，直接用无线波桥接，加密层层套着，信号还带抗干扰涂层。开发过程严得要命，测试时他们模拟各种环境，确保一插进去就不露马脚。

伊朗那边的Stuxnet病毒，2010年搞乱了核设施，虽然没直指COTTONMOUTH，但那无线渗透的手法如出一辙，离心机转着转着就坏了，项目拖了好几年。这不光是技术活儿，更是战略布局，NSA想通过这些工具，掌控对手的命脉。

在中国这边，情况更敏感。2024年10月，央视新闻爆出，中国国家网络安全机构发了报告，直指NSA用COTTONMOUTH针对咱们的关键网络下手。那些伪装USB，混在供应链里，悄无声息地进到北京、上海这些大城市的系统。

报告里说，这些装置不光偷数据，还能监控政府通信、经济模型、军事部署啥的。NSA的野心，从中东到亚洲，一路铺开，COTTONMOUTH就是他们手里的尖刀。说白了，这套东西的成形，标志着网络战从虚拟转向实体，隔离网再严，也得防着这种小物件。

NSA玩COTTONMOUTH，最绝的招就是从供应链卡位。想想看，电子产品从工厂到用户，手一环串一环，他们专挑物流环节下手。

报告显示，从2010年代初起，针对中国的高科技园区和军方供应商，NSA小组就盯上北京郊区、浦东物流园这些地方。伪装成普通USB或网线接口，表面看跟淘宝上卖的没两样，谁会多想？一插进隔离电脑，事就大了。

具体怎么干？他们监控货运路径，截获即将运往目标的批量配件。技术员动手时，精确到分钟，拆壳焊芯片，塞进COTTONMOUTH模块，再封好箱子。整个过程不留痕迹，焊点伪造成原厂模样。

到了用户端，北京某机构的技术员插上测试，屏幕一闪“识别成功”，数据就开始往外漏。无线模块嗡嗡发射，加密包直奔NIGHTSTAND中继，那中继藏在使馆车里或郊区面包车，8英里内稳稳接住。

央视报告点名，这些行动覆盖多个城市，窃取的敏感信息包括基础设施布局、经济预测模型、政策草案。上海金融中心那次，交易算法被抄走，模型里曲线数据全打包回传。

广州军方供应商中招，部署草图坐标点密密麻麻，落入NSA手里。北京政府终端也没逃，通信记录一条条流出。规模不小，2010到2014年，数百件设备投下，数据量达GB级，分析中心那边分类存档，用来影响决策。

为什么USB这么好使？因为它到处是，键盘、鼠标、扩展卡，全能搭桥。COTTONMOUTH不光传数据，还注入脚本，伪造日志掩盖脚印。报告里说，NSA通过这些，绕过传统防护，直捣隔离网核心。这套路太老辣，供应链全球化，本是便利，结果成了漏洞大开。中国作为制造大国，高科技出口多，物流枢纽密集，正好成靶子。

更气人的是，NSA不只偷，还能远程操控。激活后，装置像寄生虫，加载恶意负载，执行命令或植入后门。2013年斯诺登文件曝光后，大家才知道TAO部门早就在亚洲布局，针对中国节点反复演练。

渗透不限于USB，网线、以太网接口也中枪，但USB最隐蔽，体积小、兼容广。全球案例看，伊朗核设施用类似手段，Stuxnet通过USB传播，破坏离心机。NSA的逻辑简单：物理接触是王道，隔离网再牛，也挡不住人手一插。

中国网安机构这次报告，列了42种NSA网络武器，COTTONMOUTH变体占一席。渗透路径清晰，从仓库截获到信号回传，每步都算计周全。接地气说，这就像超市买菜，里面藏了针，谁吃着吃着扎嘴？供应链安全，得从源头抓起。NSA的伪装术，体现了他们情报战的狠劲儿，不留活路。

COTTONMOUTH这事儿一曝光，全球网络圈子炸锅了。伊朗从2010年起项目延误，经济损失上亿，暴露了这种工具的破坏力。俄罗斯2014年军事情报丢了，欧洲2015年贸易数据外泄，沙特2016年通信被截，全是类似无线渗透的影子。

联合国2017年开会讨论网络规范，纽约总部灯火通明，代表们投影报告，呼吁限硬件出口。欧盟2015年就推法规，强制审计供应链，工厂里扫描仪嗡嗡转，查可疑焊点。

对中国来说，影响直击要害。2024年10月报告一出，北京中关村大楼里，网安小组连夜分析样本，拆解芯片显微镜下焊缝毕露。华为服务器2014年被渗透细节重提，时间系统2023年黑客事件也扯上NSA。

防护升级快，2018年供应链审查协议落地，物流站X光机扫箱子，标记异常。2023年2月，美国指咱们渗透路由器，咱们反手曝光他们的工具痕迹，针锋相对。

2025年，自主芯片项目提速，实验室焊国产模块，测试桥接失败率降到零。军方终端加电磁屏蔽，螺丝拉紧，隔离协议双人验证。教育上，大学课堂拆USB讲射频风险，学生上手操作。国际上，和东盟2024年曼谷会议共享情报，比对样本焊点。联合国日内瓦2025年网络会，中国报告分发，推多边协议。

这波事，警醒大家网络安全不是空谈，得实打实防。COTTONMOUTH虽小，威胁大，中国网安从被动到主动，步步为营。全球博弈中，咱们的创新步伐稳，防护壁垒厚。说到底，数字空间的仗，打的就是供应链和无线波，谁先卡位谁赢。

来源：Coolburger一点号