导语：情报系统检测到威胁行动者 NormalLeVrai 再次出手，将法国全国飞碟射击运动联合会（FFBT）列为最新受害目标。2026年以来 NormalLeVrai 已先后侵害多家法国企业，此事件目前仍处于调查阶段。

事件概述

VECERT 情报系统于 2026 年 5 月发布预警，称威胁行动者 “NormalLeVrai” 涉嫌针对 Fédération Française de Ball-Trap（FFBT，法国全国飞碟射击运动联合会） 发起数据窃取攻击，并已兜售所得凭证及管理员访问权限数据。该事件目前仍处于 [UNDER INVESTIGATION] 状态，尚无官方声明公开。

FFBT 是法国主管飞碟射击（Clay Pigeon Shooting）运动的全国性体育组织，会员涵盖专业运动员、射击俱乐部及赛事管理员。其会员管理系统存储运动员资质认证、联系方式、管理员账户及赛事注册数据，对体育界参与主体具备高度敏感性。

NormalLeVrai：高产的暗网数据贩卖者

NormalLeVrai 是 2025—2026 年暗网最活跃的威胁行动者之一，其目标高度集中于法国企业及组织，以大批量窃取数据并低价兜售著称。

受害目标	数据规模	兜售价	时间
Service Telecom（法国）	283 万条用户记录 + 16 GB 源代码 + 邮件备份	$2,200	2026年4月
英国三家旅行社（airdeals / airtips / payair）	10.2 万条记录 + 2.97 GB 源代码	—	2026年3月
Energie1（法国能源公司）	405 封邮件 + 185 份附件（企业邮箱完全接管）	—	2026年4月
Zurich Insurance（瑞士苏黎世保险）	426 万份保险合同记录	—	2026年5月
Meetic（法国约会平台）	717 万条用户记录	—	2026年5月

攻击特征分析

根据 NormalLeVrai 过往攻击模式，其入侵手法呈现以下特征：

初始入侵路径

以凭证窃取为主要入口，倾向于暴力破解、撞库或社会工程学钓鱼获取管理员权限
对邮件系统尤其感兴趣，多次出现”企业邮箱完全接管”操作

数据勒索与兜售

窃取数据后通常尚未大规模公开发布，而是选择在暗网论坛挂单兜售
兜售价普遍较低（$2,200 可购法国大型电信商百万级数据），明显以走量为主
若兜售失败，通常转向免费泄露（如 Meetic 事件中通过 #freebreach3d 标签公开）

目标偏好

法国本土企业优先，兼顾瑞士、英国等邻近地区
涵盖电信、能源、政府机构、金融保险、互联网平台等多个行业

受影响范围评估

评估项	详情
受害组织	FFBT（法国全国飞碟射击运动联合会）
疑似泄露数据类型	会员凭证、管理员账户权限、运动员注册数据、联系方式
状态	调查中，官方尚未公开确认
兜售状态	待核实（VECERT 预警中有兜售迹象）
潜在影响	数据可用于钓鱼、身份冒充、赛事数据篡改

规避与检测建议

立即行动：

强制重置所有会员及管理员账户密码，启用多因素认证（MFA）
排查 FFBT 官网及会员系统是否存在未授权登录痕迹
检查服务器访问日志，寻找异常时间段的异常 IP 访问
通知会员群体警惕来自 FFBT 名义的钓鱼邮件和短信

持续监控： 5. 订阅暗网数据泄露监控服务，设置 FFBT 品牌关键词告警 6. 对已知泄露邮箱在 Have I Been Pwned 等平台进行批量比对 7. 对接 ANSSI（法国国家网络安全局）及 CNIL（数据保护机构）

置信度与信息来源

项目	详情
置信度	🟡 中—高（基于 NormalLeVrai 历史行为模式推断，事件本身仍在调查中）
信息来源	VECERTRadar（X/Twitter）、DarkWebInformer
首发时间	2026年5月9日