数据通过攻击方自己建立的加密通道回传——这正是陈默要的。

他的反向追踪程序挂在下载通道的tcp握手包里，跟着数据流一起走。每经过一个中继节点，追踪程序就记下那个节点的ip地址、端口号和路由特征。

七个中继节点。

最终，追踪程序锁定了一台位于法兰克福的中继服务器。

“进去看看。“陈默对小赵说。

小赵利用中继服务器在传输数据时暴露的一个认证缺陷，拿到了缓存的只读权限。

缓存里的东西比预想的多得多。

首先是攻击工具包——定制化的渗透框架，代码注释是英文的，变量命名风格跟nsa下属的tao（特定入侵行动办公室）已知工具高度一致。

然后，在缓存的另一个分区里，小赵发现了一批完全不相关的文件。

不是攻击工具。是代码。

ptc creo和西门子nx的底层模块源代码片段。

陈默凑过来看了三十秒。

“这些代码不是偷我们的。“他的声音变了个调，“这是攻击方自己的工具链里带的——他们在渗透我们的系统之前，先用了ptc和西门子的底层框架做了兼容性测试。“

“等等——“小赵的手指悬在键盘上方，“你是说cia在攻击我们之前，先拿ptc的源代码做了测试？那他们手里有ptc的源代码？“

“不止有。“陈默指着屏幕上的一段代码，“你看这个函数。这是一个数据回传模块。它的功能是——把用户设计文件的d5摘要，通过https协议定时发送到一个境外服务器。“

小赵看了十几秒，脸色彻底变了。

“后门。“

“后门。“陈默重复了一遍，“ptc creo的底层代码里，嵌了一个隐蔽的数据回传功能。每个用ptc的大夏企业，设计文件的摘要信息都在往外送。“

中控室里安静了五秒。

角落里，苏哲放下了手里那份翻了不知道多少遍的供水管网方案。

“西门子呢？“

陈默在另一批代码片段里找了一会儿。“也有。机制不一样——西门子的后门走的是pl系统的云同步协议，伪装成正常的版本更新检查请求。但实质是一样的：数据外泄。“

苏哲站起来。

“所有证据打包。代码片段、中继服务器缓存镜像、时间戳日志、追踪路径——全部打包。做三份拷贝。一份留在敦煌，一份跟我回京海，一份加密传输给程度。“

“然后呢？“陈默问。

“然后你恢复盘古系统的外网端口。五万家企业等着干活。“

“攻击还在持续——“

“你的蜜罐还挂着吧？“

“挂着。“

“那就让他们继续攻。攻得越狠，留下的痕迹越多。他们不知道自己的中继服务器已经被我们扒了底裤。“

陈默想了想，点了一下头。

苏哲带着那份加密硬盘飞回京海的当天下午，通过国安系统的加密渠道，将完整的证据报告提交给了国家网信部门和工信部。

报告的标题他亲自拟的：《关于ptc creo及西门子nx工业软件存在安全后门的技术取证报告》。

三天后。

工信部发布了一份措辞审慎但含义明确的紧急通告：

“……经安全评估，部分境外工业软件产品存在未经用户授权的数据外传行为。建议国内关键基础设施运营企业和重要制造业企业，优先采用通过国家安全审查的国产替代方案……“

通告没有点名盘古造物。

但全国所有看到通告的人都知道——此时此刻，唯一通过了国家安全审查的国产工业设计软件，只有一个。

ptc的股价在通告发布后的第一个交易日跌了百分之十四。西门子数字工业板块跌了百分之七。

那批三万六一年的宣传册，再也不需要垫桌脚了。因为不会有人来要了。

苏哲没有开庆功会。他甚至没有在任何公开场合提到这件事。工信部的通告就是最好的声明——官方盖章，胜过一切自我标榜。

倒是陈默在恢复外网端口之后的第二天，发了一条朋友圈。配图是敦煌超算中心外面的戈壁日落，文字只有四个字：

“日出而作。“

底下的评论他一条都没回。

盘古造物的注册企业数在通告发布后的第一周，从五万家涨到了八万三。第二周，十一万七。

第十天，突破十二万。

陈默在敦煌中控室里盯着飙升的用户曲线，嘴里咬