第508章 深入追踪：突破困境（2/2）

“这些包为什么没被标记？”我指着其中一条。

“因为它们太小了，像是心跳检测。”他说，“我们之前以为是扫描试探，就没深挖。”

“现在重新分析。”我说，“把这些当成真实传输信号处理。看看能不能拼出完整路径。”

接下来六个小时，我们一条条剥离虚假跳板。Node-3带着团队用了新的剥离模型，把每一段加密混淆层都拆开来看。终于，在凌晨一点二十三分，他们捕捉到一次未完全混淆的原始载荷。

“这个IP能定位。”他声音有点紧，“服务器在柬埔寨金边的一个数据中心，租用方是一家叫‘新亚互联’的公司，注册邮箱是Gail，实名信息为空。”

“查资金流向。”我说，“这种服务器不可能白用，肯定有人付款。顺着缴费记录挖。”

他联系了合作的技术调查通道，两小时后拿到一份银行流水快照。服务器月付三百美元，收款账户是新加坡一家离岸支付平台的子账户。

“再查这个子账户的资金来源。”我说。

又等了一个小时，结果出来了：三个月前，该账户收到一笔五万美元转账，付款方是“星合资本”，而这家公司，正是宏达集团新一轮融资的出资方之一。

我盯着这条记录，没说话。

钱从宏达的投资方流出，流到一个专门为服务器付费的空壳账户，服务器反过来成为攻击我们的跳板。这不是巧合。这是闭环。

“他们不光偷技术。”我说，“他们还自己建通道，自己养人，自己搞攻击链。王宇那种只是末端执行者，真正的问题是从上游就开始的。”

Node-3看着我：“我们现在怎么办？报警吗？”

“不行。”我说，“证据还不够硬。我们现在掌握的是间接关联，法院不会认。而且一旦打草惊蛇，他们立刻换一套体系，我们又要从头来。”

“那……继续追？”

“不追了。”我说，“改成监听。你们不要再主动扫描那个服务器，也不要试图反向入侵。就让它正常运行，我们悄悄录下每一次连接请求，每一次数据交互。”

他明白我的意思：“你是想等他们自己暴露更多？”

“对。”我说，“我们现在要做的不是抓人，是固证。把每一次登录时间、IP变化、文件传输记录全都存下来，做成不可篡改的日志包。等够了，一次性交给律师。”

他点头，开始设置隐蔽抓包程序。我则把所有相关数据整理成一份加密文档，存进专用硬盘。资金流向、服务器注册信息、异常DHCP记录、第三方人员工单延迟离场时间——全在里面。

做完这些，我拿起手机，找到通讯录里一个很久没拨的号码。那是我认识的一位专打商业泄密案的律师，姓周，办过几个大案子。

我按下拨号键，电话响了两声。

“喂？”那边接了。

我开口：“周律师，我是李哲。有个事想请您帮忙看看，关于数据窃取和跨境资金的问题。”

我刚说完这句话，办公室外走廊的灯忽然闪了一下。

我抬头看向门口，门缝下的影子静止不动。

电话还在通话中。

我说：“您明天下午有没有空？我想带些材料当面聊。”