潛伏十年，她親手端掉了歐美最隱秘的黑客組織

（來源：麻省理工科技評論）

事情發(fā)生在一個春天。

2024 年 4 月，一名使用「Waifu」和「Judische」作為網(wǎng)名的神秘人士，開始在 Telegram 與 Discord 頻道發(fā)布針對網(wǎng)絡(luò)安全研究員艾莉森?尼克松（Allison Nixon）的死亡威脅。這名用戶寫道，艾莉森?尼克松很快會被灌滿汽油的輪胎燒死。他還表示，腦震蕩是他最偏好的腦死亡方式，而這將會發(fā)生在艾莉森?尼克松身上——這些表述均帶有冒犯意味。

事情愈演愈烈。不久之后，甚至有人開始發(fā)布由 AI 生成的尼克松的不雅照片。

這些匿名賬號將尼克松作為目標，是因為她已經(jīng)成為一股難以對抗的力量。她在網(wǎng)絡(luò)調(diào)查公司 Unit 221B 擔任首席研究官，這家公司的名稱來自福爾摩斯的住所。她長期追蹤網(wǎng)絡(luò)罪犯，并協(xié)助將其逮捕。

多年來，她潛伏在各類網(wǎng)絡(luò)聊天頻道，或使用化名與作案者直接交流，同時整理對方不慎泄露的個人信息與犯罪線索。這些工作幫助她將多名網(wǎng)絡(luò)罪犯繩之以法，其中尤其包括一批自稱 The Com（共產(chǎn)主義聯(lián)盟）的無政府主義黑客。

但 The Com 成員不只參與黑客活動。部分成員還會對追蹤他們的研究員實施線下暴力。這類行為包括砸窗襲擊與報假警誘騙特警突襲。后者是一種危險的惡作劇，行為人謊稱目標家中發(fā)生謀殺或人質(zhì)事件，促使特警持械包圍目標住所。The Com 分支團體 764 的成員被指控實施更嚴重的暴力行為，包括虐待動物、持刀傷人與校園槍擊，或是煽動 The Com 內(nèi)外人員實施此類犯罪。

尼克松在十多年前就開始追蹤該群體成員。當時其他研究員與執(zhí)法人員大多忽視這群人，原因是他們年紀尚小，許多仍處于青少年階段。

由于長期的關(guān)注，尼克松積累了大量識別并揭露 The Com 成員身份的經(jīng)驗。聯(lián)邦調(diào)查局特工瑞安?布羅根（Ryan Brogan）表示，自 2011 年與尼克松合作以來，尼克松已協(xié)助他與同事識別并逮捕二十多名該團體成員。他認為，尼克松揭露嫌疑人身份的能力無可比擬。

他表示，一旦被他和尼克松盯上，落網(wǎng)只是時間問題。無論行為人使用多少網(wǎng)絡(luò)匿名手段與操作技巧，最終都會被識破。盡管尼克松從事這項工作已超過十年，她仍無法理解為何 Waifu/Judische 賬號背后的人會突然對她發(fā)出威脅。

她曾接受媒體采訪介紹 The Com，最近一次是在《60 分鐘》節(jié)目。但她并未公開自己揭露成員身份與工作的細節(jié)，因此，這次敵意來得十分突然。她過去曾因 Waifu 吹噓的犯罪行為關(guān)注過這個賬號。但威脅出現(xiàn)時，Waifu 已不在她的追蹤范圍內(nèi)，因為她當時正在調(diào)查其他目標。此時尼克松決定揭露 Waifu/Judische 與其他發(fā)出死亡威脅者的真實身份，并以他們承認的罪名將其繩之以法。

她表示，在對方發(fā)出死亡威脅之前，她對他們并不感興趣。

Com 的起源

大多數(shù)人從未聽說過 The Com，但該團體的影響力與威脅正在不斷擴大。

這是一個由松散團體組成的網(wǎng)絡(luò)社群，成員主要是北美與歐洲英語地區(qū)的青少年和二十多歲的青年人，他們也被看作是網(wǎng)絡(luò)犯罪青年運動的一部分。

通常情況下，國際法與國際規(guī)范，以及對報復(fù)行為的擔憂，會限制國家在網(wǎng)絡(luò)行動中的力度。但奉行無政府主義的 The Com 并不受此類約束。

過去十年間，該團體的犯罪活動不斷升級。早期只是通過分布式拒絕服務(wù)攻擊癱瘓網(wǎng)站，后來發(fā)展為 SIM 卡劫持攻擊、加密貨幣盜竊、勒索軟件攻擊與企業(yè)數(shù)據(jù)竊取，這些犯罪行為影響到 AT&T、Microsoft、Uber 等多家機構(gòu)；The Com 成員還參與多種形式的性敲詐，逼迫受害者自殘或拍攝色情內(nèi)容；甚至，其影響還延伸至線下，涉及綁架、毆打與其他暴力行為。

一位長期研究網(wǎng)絡(luò)犯罪的研究員因工作原因要求匿名。他表示，The Com 在網(wǎng)絡(luò)領(lǐng)域的威脅程度與俄羅斯和中國相當，背后原因十分特殊。他指出，中國、俄羅斯與朝鮮在網(wǎng)絡(luò)行動中都會受到約束。國際法、國際規(guī)范與對報復(fù)的擔憂，都會限制國家行為的力度。但無政府主義的 The Com 并不受這些限制。他表示，這是一個相當嚴重的威脅，但人們往往因為對方只是一群孩子而忽視問題。然而他們造成的影響不容忽視。

（來源：麻省理工科技評論）

布羅根表示，這類行為造成的經(jīng)濟損失會在短時間內(nèi)達到驚人規(guī)模。

The Com 成員沒有固定的聚集平臺。他們分散在多個網(wǎng)絡(luò)論壇、Telegram 與 Discord 頻道。該團體延續(xù)了過去二十年中一系列黑客與亞文化社群的發(fā)展模式。這些團體在網(wǎng)絡(luò)上興起并獲得惡名，隨后因核心成員被捕或其他原因衰落消失。尼克松表示，這些團體的動機與活動各不相同，但都源自相同的早期網(wǎng)絡(luò)環(huán)境。The Com 的源頭可以追溯到 The Scene。該群體最初由各類盜版團體組成，主要從事游戲、音樂與電影盜版活動。

2011 年尼克松開始關(guān)注 The Scene 時，其成員主要劫持游戲賬號、發(fā)動 DDoS 攻擊并提供攻擊服務(wù)。DDoS 攻擊通過僵尸網(wǎng)絡(luò)流量壓垮服務(wù)器或計算機，阻礙正常訪問。Booter 服務(wù)是一種可租用工具，任何人都能使用它對指定目標發(fā)動 DDoS 攻擊。這些成員會獲得部分收益，但主要目的是博取關(guān)注與名聲。

（來源丨麻省理工科技評論）

這一情況在 2018 年左右發(fā)生改變。當時加密貨幣價格上漲，The Com 作為分支團體出現(xiàn)，并最終取代了 The Scene。成員開始以經(jīng)濟利益為目標，包括竊取加密貨幣、數(shù)據(jù)與實施敲詐。

兩年后的疫情期間，The Com 成員數(shù)量大幅增長。尼克松認為，這一現(xiàn)象源于社交隔離與青少年被迫轉(zhuǎn)為線上學習。她同時認為，經(jīng)濟環(huán)境與社交問題也推動了團體規(guī)模擴張。她表示，許多成員因技能不足或行為問題無法正常就業(yè)。部分被捕成員家庭環(huán)境不穩(wěn)定，難以適應(yīng)學校生活，部分還表現(xiàn)出精神健康問題。The Com 為成員提供歸屬感、支持與情緒宣泄渠道。2018 年之后，該團體還為部分人提供了獲取金錢的途徑。

該社群衍生出多個松散小組，包括 Star Fraud、ShinyHunters、Scattered Spider、Lapsus$ 等。這些小組合作實施系列犯罪活動。法庭文件顯示，他們通常以知名加密貨幣從業(yè)者與科技巨頭為目標，通過盜竊與敲詐獲利數(shù)百萬美元。

這名網(wǎng)絡(luò)犯罪研究員表示，即便在以利益為目的的行動中，掌控感、權(quán)力與炫耀資本仍是重要動機，這也是成員選擇攻擊大型目標的部分原因。他表示，行動確實能帶來經(jīng)濟收益，同時也是在宣告自己可以影響那些自認為無法被撼動的對象。尼克松表示，事實上部分 The Com 成員受強烈自我意識驅(qū)動，這類動機最終會與經(jīng)濟利益目標產(chǎn)生沖突。她表示，他們的經(jīng)濟計劃常常因為自負而失敗，而這一現(xiàn)象也成為她工作的突破口。

黑客獵手

尼克松留著黑色直發(fā)，佩戴細框眼鏡，身形偏瘦，氣質(zhì)斯文。初次見面時，她甚至會被誤認為青少年。她講述工作時語速很快，仿佛腦中信息急于輸出；她在向他人解釋 The Com 威脅時，會表現(xiàn)出強烈的緊迫感；當她追蹤的對象被捕時，她不會掩飾自己的喜悅。

2011 年，尼克松剛開始調(diào)查 The Com 前身社群時，她在安全公司 SecureWorks 的安全運營中心上夜班。該中心負責處理客戶網(wǎng)絡(luò)的工單與安全警報。尼克松渴望進入公司反威脅團隊，該團隊主要調(diào)查并發(fā)布來自中國與俄羅斯的國家級黑客組織威脅情報報告。她當時沒有相關(guān)人脈與經(jīng)驗，無法進入調(diào)查崗位，但尼克松擁有強烈的好奇心，這份特質(zhì)為她開辟了道路。

威脅團隊關(guān)注黑客對客戶網(wǎng)絡(luò)的影響，包括入侵方式與竊取內(nèi)容。尼克松則更關(guān)注行為人的動機與性格特征。她認為犯罪黑客一定有聚集的網(wǎng)絡(luò)論壇，于是搜索黑客論壇，進入了名為 Hack Forums 的網(wǎng)站。她表示，過程非常簡單直接。

她驚訝地發(fā)現(xiàn)，成員會在論壇上公開討論自己的犯罪行為。她聯(lián)系 SecureWorks 威脅團隊的一名成員，詢問對方是否了解該網(wǎng)站，對方認為這只是“腳本小子”聚集的地方——這一說法用來指代技術(shù)水平較低的黑客。

當時，許多網(wǎng)絡(luò)安全專業(yè)人士將注意力從網(wǎng)絡(luò)犯罪轉(zhuǎn)向國家級黑客行動。這類行動技術(shù)更復(fù)雜，也更受關(guān)注。但尼克松喜歡選擇與他人不同的方向，同事的輕視反而增強了她對這些論壇的興趣。SecureWorks 的另外兩名同事也抱有同樣興趣。三人在輪班空閑時間研究這些論壇，他們重點調(diào)查運營 DDoS 攻擊服務(wù)的人員。

尼克松喜歡這些論壇的原因是，這對她這樣的新手十分友好。威脅情報團隊需要獲得受害者網(wǎng)絡(luò)的高級權(quán)限才能調(diào)查入侵事件。但尼克松可以在公開論壇獲取所有需要的信息。這些黑客似乎認為沒有人在關(guān)注他們，因此，他們經(jīng)常在操作安全上出現(xiàn)失誤，泄露居住城市、就讀學校或曾經(jīng)工作的地點等個人信息。聊天中暴露的細節(jié)與其他信息結(jié)合，可以幫助揭露匿名賬號背后的真實身份。她表示，自己很驚訝識別對方身份竟然相對容易。

論壇中充斥著幼稚的吹噓與瑣碎爭吵，但她并不在意。她表示，很多人不愿意做閱讀聊天記錄的工作。她知道這并不常見，也許自己的思維方式確實有些特別，才愿意投入這項工作。她擁有一項特殊能力，可以在雜亂信息中梳理內(nèi)容而不受干擾。

尼克松很快發(fā)現(xiàn)，并非所有成員都是技術(shù)低下的腳本小子。她表示，部分成員展現(xiàn)出真正的創(chuàng)造力與強大技術(shù)能力。但由于這些技術(shù)被用于劫持游戲賬號等無足輕重的目標，而非攻擊銀行賬戶，研究員與執(zhí)法部門并未重視他們。尼克松開始追蹤這些人，她懷疑對方最終會將技術(shù)用于更重要的目標。這一直覺后來被證明是正確的。當他們轉(zhuǎn)向重要目標時，尼克松已經(jīng)積累了大量相關(guān)信息。

她持續(xù)研究 DDoS 攻擊兩年，直到 2013 年出現(xiàn)轉(zhuǎn)折點。長期追蹤網(wǎng)絡(luò)犯罪的網(wǎng)絡(luò)安全記者布萊恩?克雷布斯（Brian Krebs）遭遇特警報假警襲擊。

安全社區(qū)約十余人與克雷布斯合作，試圖揭露作案者身份。尼克松也受邀參與其中，克雷布斯將碎片化線索交給她調(diào)查。最終團隊識別出作案者，盡管對方兩年后才被逮捕。當她受邀與克雷布斯及其他調(diào)查人員共進晚餐時，她意識到自己找到了志同道合的群體。她表示，那是一段非常棒的時刻。她發(fā)現(xiàn)身邊有一群志同道合的人，他們愿意提供幫助，并且純粹出于熱愛投入這項工作。

一步領(lǐng)先

成人影片演員為尼克松帶來了下一個重要研究方向。這一方向再次體現(xiàn)出她的能力，她能在 The Com 成員與犯罪趨勢成為重大威脅前，就提前發(fā)現(xiàn)其苗頭。

2018 年，有人劫持部分成人影片演員的社交媒體賬號，利用這些賬號向大量粉絲發(fā)布加密貨幣詐騙信息。尼克松起初無法判斷黑客劫持賬號的方式。她向這些演員承諾，只要對方提供黑客控制賬號期間收發(fā)的私信記錄，她就幫助對方找回賬號。這些記錄將她引向一個論壇，論壇成員正在討論竊取賬號的方法。黑客誘騙部分演員泄露其他演員的手機號，隨后使用 SIM 卡劫持技術(shù)重置其他演員的社交媒體賬號密碼，將賬號原主人鎖定在外。SIM 卡劫持是指詐騙者將受害者手機號綁定到自己控制的 SIM 卡與手機上。

原本發(fā)給受害者的通話與短信會轉(zhuǎn)移到詐騙者設(shè)備。這包括網(wǎng)站在賬號登錄或密碼修改時發(fā)送給用戶的一次性安全驗證碼。在涉及演員的部分案件中，黑客以合理理由誘導(dǎo)電信員工執(zhí)行 SIM 卡更換。其他案件中，黑客則通過賄賂員工完成操作。黑客隨后修改演員社交媒體賬號密碼，將原主人鎖定在外，并利用賬號推廣加密貨幣詐騙。

SIM 卡劫持是一種強力技術(shù)，可以用于劫持并掏空加密貨幣與銀行賬戶。因此尼克松很驚訝，詐騙者竟將其用于收益較低的騙局。但當時 SIM 卡劫持很少用于金融詐騙。與尼克松早年在 Hack Forums 看到的黑客一樣，劫持演員賬號的人似乎沒有意識到這項技術(shù)的真正威力。尼克松懷疑這一情況會改變，SIM 卡劫持很快會成為重大問題，她因此調(diào)整了研究方向。如其所料，不久之后，詐騙者也轉(zhuǎn)向了更具利益的目標。

尼克松這種提前預(yù)判的能力貫穿了她的整個職業(yè)生涯。多次出現(xiàn)這樣的情況。一名黑客或一個團體因在小型行動中使用新穎攻擊方式引起她注意。她會開始追蹤對方的網(wǎng)絡(luò)發(fā)帖與聊天記錄，相信對方最終會用這項技術(shù)實施重大行動。事實往往如她所料。

當這些黑客隨后通過高調(diào)或具有影響力的行動登上新聞頭條時，其他人會覺得他們憑空出現(xiàn)，研究員與執(zhí)法部門會手忙腳亂地調(diào)查其身份。但尼克松早已整理好相關(guān)檔案，部分案件中甚至已經(jīng)揭露其真實身份。

Lizard Squad 就是這樣一個案例。該團體在 2014 與 2015 年通過一系列高調(diào) DDoS 行動登上頭條，但尼克松與當時的同事早已對其成員進行個體追蹤。聯(lián)邦調(diào)查局因此尋求他們的協(xié)助，以識別成員身份。

她表示，這些年輕黑客會持續(xù)作案直到被捕，但整個過程往往需要數(shù)年時間。因此她職業(yè)生涯的重要一部分，就是持有這些尚未被處理的信息。

在 Lizard Squad 活躍期間，尼克松開始開發(fā)工具，抓取并記錄黑客的網(wǎng)絡(luò)交流內(nèi)容。多年之后，她才將這套思路用于抓取 The Com 的聊天室與論壇信息，這些頻道包含大量數(shù)據(jù)。在黑客生涯早期，這些數(shù)據(jù)看似無用，但當執(zhí)法部門后續(xù)展開調(diào)查時，它們會變得至關(guān)重要。但這些內(nèi)容隨時可能被 The Com 成員刪除，或在執(zhí)法部門查封網(wǎng)站與聊天頻道時消失。

數(shù)年來，她抓取并保存自己調(diào)查的所有聊天室內(nèi)容。直到 2020 年初加入 Unit 221B，她才獲得機會抓取 The Com 的 Telegram 與 Discord 頻道內(nèi)容。她將所有數(shù)據(jù)整合到可搜索平臺，供其他研究員與執(zhí)法部門使用。公司聘請兩名前黑客協(xié)助搭建抓取工具與基礎(chǔ)設(shè)施，最終形成社區(qū)驅(qū)動、邀請制平臺 eWitness。平臺最初只包含尼克松加入 Unit 221B 后收集的數(shù)據(jù)，后來其他用戶也上傳從 The Com 社交空間抓取的內(nèi)容，其中部分信息已不在公開論壇存在。

聯(lián)邦調(diào)查局的布羅根表示，這是一個極具價值的工具，尼克松本人的貢獻讓它更加重要。其他安全公司也會抓取網(wǎng)絡(luò)犯罪空間內(nèi)容，但很少對外分享。布羅根表示，尼克松工作方式的獨特之處在于，她會與聊天環(huán)境中的行為人互動，獲取常規(guī)方式無法得到的信息。

她加入 Unit 221B 后啟動的內(nèi)容保存項目時機恰到好處。項目開展恰逢疫情、The Com 新成員激增，以及兩個令人不安的分支 CVLT 與 764 出現(xiàn)。她在這些團體剛出現(xiàn)時就抓取了聊天記錄。執(zhí)法部門逮捕團體頭目并控制聊天服務(wù)器后，相關(guān)內(nèi)容便無法公開獲取。

CVLT 發(fā)音同 cult，據(jù)報道成立于 2019 年左右，主要從事性敲詐與兒童色情內(nèi)容相關(guān)活動。764 從 CVLT 衍生而來，由得克薩斯州一名 15 歲少年布拉德利?卡登海德（Bradley Cadenhead）主導(dǎo)，團體名稱來自他郵編的前幾位數(shù)字。該團體以極端主義與暴力為核心。

2021 年，基于對這些團體的觀察，尼克松將注意力轉(zhuǎn)向 The Com 成員實施的性敲詐活動。

他們實施的性敲詐源于十年前開始的一種名為粉絲簽名的活動。黑客以曝光個人信息威脅受害者，通常是年輕女性，逼迫對方在紙上寫下黑客網(wǎng)名。黑客會將照片用作自己網(wǎng)絡(luò)賬號的頭像，作為一種戰(zhàn)利品。最終部分人開始勒索受害者，將黑客網(wǎng)名寫在臉部、胸部或生殖部位。CVLT 出現(xiàn)后，這類行為進一步升級，受害者被勒索將 The Com 成員名字刻在皮膚上，或拍攝、直播色情行為。

尼克松表示，疫情期間，大量 SIM 卡劫持者轉(zhuǎn)向兒童色情內(nèi)容與虐待性性敲詐。她厭惡追蹤這類恐怖活動，但也看到了將其用于正向目的的機會。長期以來，她對法官因金融詐騙看似不具暴力性質(zhì)而從輕判決感到不滿。她認為，如果能將這些人與性敲詐關(guān)聯(lián)，就有機會讓法院作出更嚴厲判決。她因此開始重點調(diào)查這類犯罪。

此時，Waifu 仍不在她的追蹤范圍內(nèi)。但情況即將改變。

最終結(jié)局

2024 年 4 月，Waifu 與 The Com 其他成員參與一起涉及 AT&T 用戶通話記錄的大型黑客事件。此后，尼克松成為 Waifu 的攻擊目標。

Waifu 所在團體入侵了數(shù)據(jù)存儲服務(wù)公司 Snowflake 的數(shù)十個云賬號。其中一名客戶在 Snowflake 賬號中存儲了超過 500 億條 AT&T 無線用戶通話記錄。

隨后，他們變得更加魯莽。他們據(jù)稱從 AT&T 敲詐近 40 萬美元，承諾刪除竊取的通話記錄。隨后他們再次敲詐，威脅若不支付更多資金，就泄露聲稱已刪除的記錄。并且，他們在帖子中標記了聯(lián)邦調(diào)查局。

尼克松表示：“他們的行為好像在求著被調(diào)查似的。”

當時，Snowflake 入侵與 AT&T 數(shù)據(jù)盜竊事件登上頭條。但尼克松不知道自己號碼在被盜記錄中，也不知道 Waifu/Judische 是事件主要嫌疑人。因此當對方開始在網(wǎng)絡(luò)上嘲諷并威脅她時，她感到十分困惑。

（來源：麻省理工科技評論）

5 月與 6 月的幾周內(nèi)，一種模式逐漸顯現(xiàn)。Waifu 或其同伙會發(fā)布針對尼克松的威脅，隨后在網(wǎng)絡(luò)發(fā)帖邀請她對話。她現(xiàn)在認為，對方當時相信她正在協(xié)助執(zhí)法部門調(diào)查 Snowflake 入侵事件，希望通過對話套取執(zhí)法部門掌握的信息。但尼克松當時尚未協(xié)助聯(lián)邦調(diào)查局調(diào)查對方。直到她因威脅事件開始調(diào)查 Waifu，才意識到對方涉嫌參與 Snowflake 黑客事件。

尼克松與其他研究員認為，黑客可能通過其他方式獲取探員手機號。對方可能使用反向查詢工具，識別探員撥打或接聽的號碼機主，并在其中找到尼克松的號碼。此后他們開始對尼克松進行騷擾。

但這并非她第一次調(diào)查 Waifu。Waifu 在 2019 年就引起她注意。當時他吹噓自己誣陷另一名 The Com 成員制造炸彈詐彈威脅，隨后又提及參與 SIM 卡劫持行動。他給尼克松留下了深刻印象。他明顯具備技術(shù)能力，但尼克松認為他經(jīng)常表現(xiàn)得幼稚、沖動且情緒不穩(wěn)定。他在與其他成員互動時極度渴望關(guān)注。他吹噓自己不需要睡眠，依靠藥物通宵進行黑客活動。他在保護個人信息方面也有些魯莽。他在私信中向另一名研究員表示，自己擅長操作安全，絕不會被捕。但他同時透露自己住在加拿大，這一信息后來被證實屬實。

尼克松揭露 Waifu 身份的流程，與她識別 The Com 成員的通用方法一致。她會圍繞目標及其所有網(wǎng)絡(luò)交流賬號建立大范圍調(diào)查圈，隨后分析互動關(guān)系，縮小到與目標聯(lián)系最緊密的人員。部分最佳線索來自目標的敵人。她可以從網(wǎng)絡(luò)沖突中獲取對方身份、性格與活動的大量信息。她表示，一般來說，敵人與前女友是收集嫌疑人情報的最佳來源，她非常重視這類信息。

在她開展調(diào)查的同時，Waifu 及其團體聯(lián)系其他安全研究員，試圖獲取尼克松及其調(diào)查內(nèi)容的信息。他們還試圖向研究員釋放虛假線索，提及加拿大其他可能被誤認為是 Waifu 的網(wǎng)絡(luò)罪犯名字。尼克松從未見過網(wǎng)絡(luò)罪犯使用這類反情報手段。

在這些誤導(dǎo)與混亂信息中，尼克松與一名合作研究員多次咨詢并交叉核對其他研究員的線索，確保在提交聯(lián)邦調(diào)查局前確認正確身份。

到 7 月，她與研究員確認了目標身份。康納?賴利?莫卡（Connor Riley Moucka），25 歲，高中輟學，與祖父住在安大略省。10 月 30 日，加拿大皇家騎警包圍莫卡住所并將其逮捕。

加拿大法庭文件顯示，逮捕前 9 天的 10 月 21 日下午，一名加拿大便衣警察以借口前往莫卡住所，秘密拍攝照片并與美國當局提供的圖像比對。警察敲門按鈴，莫卡衣衫不整地開門，表示對方吵醒了自己。他向警察自稱亞歷克斯。莫卡有時使用別名亞歷山大?安東寧?莫卡（Alexander Antonin Moucka）。警察確認開門者就是美國尋求的目標后離開。此時 Waifu 在網(wǎng)絡(luò)上對尼克松的攻擊升級，誤導(dǎo)行為也更加頻繁。尼克松認為，上門調(diào)查嚇到了對方。

尼克松不愿透露揭露莫卡身份的具體方法，只表示對方出現(xiàn)了失誤。她表示，不想通過披露失誤方式，教會這類人如何避免被捕。

加拿大針對莫卡的法庭文件顯示，除對尼克松的威脅外，他還被指控在網(wǎng)絡(luò)發(fā)布多條暴力內(nèi)容。部分內(nèi)容包括幻想成為連環(huán)殺手，或向密歇根州與俄亥俄州的黑人大量郵寄硝酸鈉藥片。另一條內(nèi)容中，其賬號表示要獲取槍支殺害加拿大人，并實施引警自殺行為。

起訴文件顯示，莫卡的網(wǎng)絡(luò)別名包括 Waifu、Judische 及另外兩個。檢察官表示，他與同伙從 Snowflake 賬號竊取數(shù)據(jù)，并從至少三名受害者處敲詐至少 250 萬美元。莫卡面臨近 24 項指控，包括串謀、非法入侵計算機、敲詐與電信欺詐。他表示不認罪，并于去年 7 月被引渡至美國。他的審判定于今年 10 月。但黑客案件通常以認罪協(xié)議結(jié)案，而非正式庭審。

尼克松與同事向當局提交線索后，當局數(shù)月后才逮捕莫卡。但他在 Snowflake 事件中的一名同伙，名為卡梅倫?約翰?瓦格紐斯（Cameron John Wagenius），網(wǎng)名 Kiberphant0m 的美軍士兵被捕速度更快。

2024 年 11 月 10 日，尼克松及其團隊發(fā)現(xiàn)瓦格紐斯的一處失誤，這一失誤幫助識別了他的身份。12 月 20 日，瓦格紐斯被捕。他已經(jīng)對出售或試圖出售機密通話記錄相關(guān)的兩項指控認罪，并將于今年 3 月宣判。

如今，尼克松仍在調(diào)查 The Com 成員的性敲詐活動。但她表示，Waifu 團伙的剩余成員仍在對她進行嘲諷與威脅。她表示，這些人仍在繼續(xù)無理行為，但會被逐個擊破。她會一直堅持下去，直到對方所有人都被處理。

https://www.technologyreview.com/2026/02/16/1132526/allison-nixon-hackers-security-researcher/