亚瑟把U盘从电脑上拔下来的时候,手指停了一下。办公室的灯还亮着,窗外城市的光映在玻璃上,像一层薄雾。他没有起身,也没有关掉屏幕,只是盯着那条标红的数据看了很久。
三天前的凌晨一点二十三分,那个境外IP接入了启明文化子公司的内部通讯网,下载了一份拍摄日程文档。这不是偶然。他知道这一点。现在他要做的,是顺着这条线往回走,看看背后到底连着什么。
他重新插上U盘,启动了离线程序。这是一套他自己写的分析工具,不联网,不接入主系统,所有操作都在本地运行。防火墙不会报警,也不会惊动任何人。他需要安静,也需要隐蔽。
程序加载完成后,他把那个IP地址导入查询框,然后调出了过去六个月里所有标记为“异常”的资金调拨记录。系统开始自动比对,一行行数据在屏幕上滚动。
二十分钟后,三笔款项被锁定。
金额都不大,每笔五百万左右,名义是“文化合作基金”,用途写着“海外艺术交流项目”。收款方都是注册在加勒比地区的非营利机构,名字很长,一看就是标准的空壳公司。审批流程完整,签字齐全,表面上看不出问题。
但亚瑟知道不对劲。
这些款项的结算银行,都不是常规合作行,而是同一家小型国际清算行——星汇银行。这家公司不在主流名单上,极少参与影视类项目的资金流转。更奇怪的是,它出现在华侨托投资金托管链中,作为备用清算通道。
他调出华侨托的原始托管协议副本,一页页翻看。资金路径很清晰:投资人打款→境内监管账户→分期划转至制作专户。理论上不会有境外环节。可就在第二期拨付前,有一笔两千三百万的资金临时转入星汇银行进行“汇率对冲操作”,停留不到四小时就转回。
这个操作没有必要。正常情况下,汇率风险由主账户承担,不需要单独做对冲。而且这种高阶金融动作,必须由投资方书面授权才能执行。他在协议里没找到相关文件。
他记下时间点,接着打开合作方提供的后台接口,调取星汇银行的操作日志。权限有限,只能看到部分摘要信息。但在那几天里,该银行有多笔小额资金通过同一通道转移,目的地分散在十几个离岸账户,总额累计四点七亿美元,跨度五年。
每一笔都经过多次跳转,中间嵌套信托和代持结构,普通人根本查不到源头。如果不是因为这笔“文化合作基金”牵出来,他也不会注意到这家银行的存在。
亚瑟靠在椅背上,呼吸放慢。
这不是一次性的挪用,也不是某个项目出了问题。这是长期、稳定、有组织的资金转移行为。有人利用合法外壳,在多年时间里一点点把钱送出去。手法专业,节奏平稳,几乎没有留下破绽。
他重新打开AI行为模型工具,输入已知的交易特征:固定周期、小额度、多节点、使用非常规清算渠道、关联非营利实体。系统开始模拟匹配。
几分钟后,结果出来了。
该模式与十年前一起未侦破的国际洗钱案高度相似,涉案金额超过八亿,涉及三个国家的影视融资项目。另外还有两起类似案件,分别发生在东南亚和东欧,都是以文化投资为名,最终导致项目烂尾,投资人血本无归。
系统标注:结构性重复,非随机操作,存在共性控制节点。
亚瑟在本地笔记里写下一句话:“不是个人行为,是一个组织。”
他删掉“团伙”这个词,换成“实体”。前者意味着松散联盟,后者代表稳定的架构和持续运作的能力。区别很大。
他又检查了一遍数据来源,确认没有遗漏。U盘里的原始日志已经加密封存,另一份备份存入物理隔离硬盘,放在保险柜最底层。目前还没有对外披露,也没有通知任何人。
他知道一旦消息传出去,对方可能会立刻切断所有通路。现在的线索太脆弱,经不起干扰。
他坐回椅子,目光落在屏幕右下角的时间上:凌晨一点十五分。
办公室很安静,只有主机运转的轻微声响。他的眼睛有点发涩,但脑子很清醒。刚才的推演没有漏洞,每一步都有依据。从一个IP入侵拍摄日程,到发现异常资金流向,再到追溯出一个长期运作的跨国金融网络——链条完整,逻辑闭合。
但他也知道,这只是冰山一角。
那些空壳公司背后是谁?谁有权调动星汇银行的清算通道?为什么偏偏选中这个项目下手?这些问题他还回答不了。
他打开邮箱,翻出前几天收到的一份匿名邮件附件。当时以为是垃圾信息,随手存档了。现在再看,里面提到了“M系列运输链”和“灯塔计划”,虽然语焉不详,但关键词和他目前掌握的信息能对应上。
他把附件内容导入分析程序,尝试还原发送者的原始路径。系统提示需要更高权限的身份验证,否则无法深入追踪。
他停下操作,盯着屏幕。
如果这个组织已经运作多年,那它的触角一定不止在一个行业。影视只是其中一个出口。也许还有别的项目,别的资金池,别的受害者。他们可能都不知道自己的钱去了哪里。
他想起新剧开机那天,财务主管拿着支票站在门口,剧组成员一个个接过工资时的表情。有人哭了,有人打电话给家人,有人把支票贴身收好。那是真实的生活,是三百多人靠着这份工作养家糊口。
而现在,有人想把这些都毁掉。
他站起来走到窗边,看着外面的城市灯火。高楼之间的缝隙里,车流还在移动,像是永不停歇的河流。他不知道对面有多少双眼睛也在看同样的风景,又有多少人在暗处操控着看不见的规则。
他回到座位,重新打开程序界面。这一次,他加入了更多变量:近三个月所有与M开头编号相关的物流记录、启明控股旗下子公司的税务申报差异、以及星汇银行在过去一年内的客户变更情况。
系统开始重新运算。
进度条缓慢推进,百分比数字一点一点上升。他已经做好通宵的准备。
就在这时,一条新警报弹了出来。
来自服务器监控系统:十五分钟前,有一个未知设备尝试接入公司内网,目标是财务档案库中的“跨境结算明细”文件夹。请求被防火墙拦截,但攻击源使用了动态代理,真实位置无法定位。
亚瑟盯着那条记录看了几秒,然后迅速切换到日志追踪页面。
他发现,这次攻击的IP段,和三天前窃取拍摄日程的那个境外服务器,属于同一个地址池。
对方还在活动。
而且他们察觉到了什么,正在主动搜索更多信息。
他立即关闭所有联网端口,将当前会话转为离线模式。屏幕上只剩下本地数据库的界面,其他一切外部连接都被切断。
他知道,自己不能再等了。
他打开一个新的文档,开始整理目前已掌握的所有证据:IP入侵记录、三笔异常出境资金、星汇银行的操作痕迹、AI模型匹配结果、以及刚刚发生的二次攻击尝试。
每一条都单独列出,附上时间、来源和交叉验证方式。他不做结论,只放事实。
做完这些,他新建一封邮件,收件人填了一个从未公开过的应急联系账号。加密级别设为最高,传输方式选择延迟发送,定时在明天上午九点发出。
正文只写了两句话:
“发现长期跨境资金异常流动,关联多个离岸实体。”
“初步判断为系统性金融操作,建议启动深度审计。”
他没有提“组织”,也没有说“阴谋”,用词全部限定在业务范畴内。这样即使邮件被截获,也不会立刻暴露意图。
点击发送后,他没有关闭页面。
而是继续留在系统里,调出了另一组数据——近五年内所有通过星汇银行结算的文化类投资项目清单。
列表很长,超过七十个。他逐个查看项目状态,发现其中有二十三个已经终止,十个处于法律纠纷中,剩下的一部分虽在运营,但资金链极度紧张。
他把这二十三个终止项目的名称导出,准备逐一排查背景投资人。
刚打开第一个项目资料,屏幕突然闪烁了一下。
系统提示:本地缓存出现读取错误,部分文件可能已损坏。
亚瑟皱眉,立即检查硬盘状态。物理设备正常,温度稳定,无异常写入记录。但他注意到,在缓存目录下,有一个名为“temp_log_076”的隐藏文件夹,创建时间显示是十分钟前,大小为零字节。
他尝试打开,提示权限不足。
他输入管理员密码,仍然无法访问。
这个文件夹不是他创建的。