暗网硝烟四起:新成立的暗网论坛PwnForums泄露了DarkForums的用户数据库

独家报道
近期Indra的BreachForums出现了运营崩溃以及所谓的“退出骗局”后,一个名为PwnForums的新暗网论坛应运而生,该论坛一出生即王炸。前几天刚刚人肉了原BreachForums管理员“N/A”的真实身份,随后又发布了其主要竞争对手暗网论坛DarkForums的论坛数据库。可怜的DarkForums遭遇了严重的“背刺”——其大量用户的真实IP地址惨遭泄露,匿名神话再次破灭。 雨后春笋:新成立的暗网论坛PwnForums PwnForums被确认为一个新成立的独立论坛,据称由Indra版本的BreachForums的前版主和资深成员创建。虽然它声称与之前BreachForums的管理团队没有官方联系,但其领导层构成表明,无论在运营还是社区结构方面,都保持着一定的连续性。 该暗网论坛在功能和用户群方面定位为BreachForums的直接继承者,旨在恢复中断的活动,并为威胁行为者提供熟悉的环境。PwnForums声称拥有截至2026年3月28日原BreachForums更新的历史主题、帖子和用户数据库。 PwnForums的出现凸显了网络犯罪领域一个反复出现的模式:一个平台倒下后,另一个平台会迅速崛起取而代之。凭借继承的信任、现有的用户凭证以及声称拥有的历史数据访问权限,PwnForums 作为数据泄露和网络犯罪分子协作的重建中心,构成了重大风险。 PwnForums的明网域名:pwnforums.[]st PwnForums的暗网域名:pwnfrm7rbf6kyerigxi677lcz5ifmoagdbqqknwdu2by27wfdst5qmqd[.]onion 内战升级:PwnForums大战DarkForums 4月15日,PwnForums的管理员john在其论坛发布主题:“DarkForums · 420k rows · Posts/Users/IPs”,帖子称“PwnForums社区的各位好,在整倒了N/A之后,我们想向大家介绍由一个名为“Knox”的Pajeet运营的DarkForums(顺便提一句,此人正在出售其用户数据) 我们利用了一个myBB漏洞,从而提取了用户数据。”具体用户数据如下(字段:用户名、IP、主机名、错误、帖子): ~ 427,000 条记录,涵盖帖子 ID 0 至 442,200,每条记录将帖子 ID 与用户名、IP 地址和主机名关联起来。 ~ 44,300 名唯一用户的 IP 地址被泄露。 ~ 78,000 个唯一 IP 地址。 ~ 19,300 次通过 Tor 节点建立的连接。 ~ 15,200 次通过 VPN/主机服务商建立的连接。 ~ 97,400 条包含住宅主机名的记录(真实的个人 ISP)。 ~ 168,400 条无主机名的记录(仅 IP 地址,无反向 DNS)。 ~ 122,700 条错误记录(67,000条已删除帖子,43,000次超时,7,500次访问被拒)。 john在帖子中说:“您愿意在一个已禁用洋葱服务的论坛上发帖吗?您愿意在一个已将大量 Tor IP 地址列入黑名单的论坛上发帖吗?您愿意在这样一个论坛发帖吗?该论坛不仅记录用户最近一次登录和注册时的IP地址,还记录他们曾在DarkForums发帖时使用的IP地址。” 在暗网的世界里,真实IP地址就是威胁行为者的命门。DarkForums此前一直标榜其平台的安全性和对用户隐私的极致保护,但此次泄露直接撕掉了这层伪装。根据泄露的数据样本显示,其中包含了大量与恶意软件分发、勒索软件协作相关的活跃账号信息。 从技术层面分析,这次泄露极有可能是因为DarkForums的服务器配置存在漏洞,或者由于myBB程序存在0day漏洞导致论坛权限被竞争对手渗透所致。但无论什么原因,当攻击者能够直接获取并公开用户的真实访问日志时,所谓的Tor匿名保护就彻底失效了。 “暗网下/AWX”认为,这不仅仅是一次简单的数据库失窃,更像是暗网论坛之间为了争夺“流量”与“权威”而进行的毁灭性打击。 渔翁得利:全球执法部门和安全研究机构大丰收 此次泄露的影响远超表面,由于许多攻击者在访问论坛时并未能完美地隐藏其真实出口,泄露的IP地址直接指向了他们所使用的VPS服务商、甚至是个人的家庭宽带出口。对于全球执法部门和安全研究机构来说,这无疑是一笔巨大的情报财富。通过对IP地址进行溯源,可以准确定位目标从而获取网络犯罪分子的真实身份。 这起事件再次提醒了那些游走在法律边缘的人:在技术对抗的最高维度,没有绝对的避风港。当暗网论坛开始通过曝光对方用户老底来进行“商业竞争”时,整个地下生态的信任基础正在加速瓦解。对于安全从业者而言,这一定是一个追踪高价值威胁组织(APT)或勒索软件团伙的关键突破口。

爱尔兰议会听证会聚焦暗网监控,国家机构密切关注网络威胁

其他国家动态, 暗网动态
爱尔兰议会(Oireachtas)关于人工智能(AI)的听证会将一个备受关注的问题提上了议程:国家在追踪网络威胁信号时,应如何把握住度,避免越权导致过度干预。爱尔兰国防军和国家网络安全中心(NCSC)向委员会表示,他们正在监控暗网以防范针对国家的网络安全威胁,但仅限于搜索与这些威胁相关的关键词和短语。 爱尔兰议会委员会听取了哪些内容? 此次听证会侧重于实践问题而非理论探讨。爱尔兰国防军和国家网络安全中心证实,他们正在采取行动监控暗网以防范针对国家的网络安全威胁。爱尔兰国家网络安全中心主任理查德·布朗博士(Dr Richard Browne)表示,监控仅限于与网络威胁相关的关键词和短语。这一细节至关重要,因为它划定了界限:国家正在警惕危险信号,但并未将其呈现为开放式的监视。 这一议题植根于关于人工智能、网络风险以及当威胁形势变得难以界定时各机构应如何应对的更广泛公共讨论之中。在本次听证会上,爱尔兰议会委员会听取了负责国家安全和网络防护的机构陈述,将讨论置于政府运作机制之中,而非停留在抽象层面。这提醒我们,网络防御现已成为国家日常事务的一部分,而非偶尔的危机应对措施。 暗网监控为何对国家安全至关重要? 暗网监控被视为威胁检测的一部分,而非独立的解决方案。正如理查德·布朗博士所描述的,国家网络安全中心(NCSC)的做法具有针对性且范围有限:仅关注关键词和短语。这表明努力旨在尽早识别潜在风险,尤其是在攻击尚未发生但已有迹象时。在同一次听证会上,国防军的出席进一步强调,这不仅是一个技术问题,更是国家整体防备能力的问题。 在由机构和术语主导的讨论中,人们很容易忽略“人性”这一维度。然而,其背后的核心关切对公民和公职人员而言都并不陌生:关键系统、公共服务和国家职能能否免受那些可能源于大多数人从未见过的空间的危害。爱尔兰议会委员会今天听取的意见指出,答案不仅取决于积极的监控,还取决于克制。换言之,警惕危险并不等同于将每一个信号都视为威胁。 关于暗网监控的辩论是如何演变的? 当前的讨论源于爱尔兰警察局(Garda)助理局长安吉拉·威利斯(Angela Willis)上月初的一份公开声明,她表示警方“并未主动监控暗网”。这一早前的表态为委员会听证会提供了背景,因为它表明不同机构对其职责的描述存在差异。爱尔兰议会目前掌握的证据显示,国防军和国家网络安全中心确实在进行监控,但其方法有限,且受特定条款的约束。 对公众而言,这些区别至关重要。它们塑造了人们对安全与克制之间平衡的理解,并有助于界定国家机构在声称搜寻网络威胁时实际在做什么。爱尔兰议会听证会并未呈现一个全面的大规模计划或戏剧性的扩张。相反,它强调了一种受控的做法,旨在向国家发出危险警报,同时避免将监控变成开放式的拉网式搜索。 这对国家今后的发展意味着什么? 目前,最明确的应对措施已然展开:爱尔兰国防军和国家网络安全中心正通过关键词和短语,对暗网进行监控,以搜寻与网络威胁相关的预警信号。这种做法听起来或许微不足道,但在网络安全领域,早期发现往往是风险能否得到控制、还是演变为更大问题的关键。委员会的听证会表明,国家机构正努力跟上威胁的步伐——这些威胁往往行动迅速,且在浮出水面之前通常隐而不显。 更广泛的问题——也是听证会后仍悬而未决的问题——在于:国家在不超出必要范围的情况下,需要多少监控力度才能确保安全?爱尔兰议会的讨论表明,至少目前,答案是“定向监控”,而非“全面监控”。但“暗网下/AWX”认为,这还远远不够。未来,随着委员会继续审查人工智能及相关风险,真正的考验在于:当威胁日益复杂时,这种平衡能否得以维持。 归根结底,这一场景与其说戏剧性,不如说发人深省:一个委员会会议室,关于网络威胁的警示,以及一个试图看清黑暗却又不失分寸感的国家。爱尔兰议会的辩论目前正处于这一阶段,而接下来的问题很可能也将由此展开。

号称RAMP替代品的暗网论坛T1erOne正在发起黑客征文大赛,奖金池1万美金

独家报道
“暗网下/AWX”曾报道,在今年一月底FBI摧毁臭名昭著的RAMP论坛之后,一个允许交流勒索软件的新暗网论坛T1erOne悄然诞生,并宣称自己是RAMP论坛的替代品,为从事交易被盗数据、协调勒索软件攻击以及分发恶意软件的网络犯罪分子提供交流平台。只不过发展几个月后,该论坛人气依旧不愠不火。 为了吸引更多人访问,暗网论坛T1erOne诚邀对访问T1erOne感兴趣的研究人员加入。现在研究人员可以直接在该论坛上(tier1[.]life/register)注册为研究人员,研究人员账户享有特殊的有限访问权限。 除此之外,近日,该论坛还宣布了一场黑客征文大赛,旨在吸引全球顶尖的黑客和安全研究员分享他们的“实战干货”。该活动由1万美元(约合 7 万人民币)奖金支持,作为总奖金池,让人得以一窥这些暗网空间中知识共享和奖励的方式。 然而,这次竞赛引入了一种不同的动态,它类似于合法的网络安全生态系统,在那里研究人员记录发现并分享漏洞利用技术。根据论坛管理员发布的官方公告,帖子内容为:“大家好!我们很高兴宣布 T1erone [ARTICLE CONTEST #1 – 2026]。竞赛获胜者将获得奖金:第一名 – 5000美元,第二名 – 3000美元,第三名 – 2000美元,[总奖金池 10000美元]。文章提交从2026年4月13日开始,到2026年5月14日结束。” 该公告显示,这场暗网文章竞赛将于2026年4月13日至2026年5月14日举行,奖金金额奖金设置非常诱人:第一名5000美元、第二名3000美元、第三名2000美元,总奖金池为1万美元,据称由cry0勒索软件赞助。 黑客征文大赛征集高质量的黑客攻击技术文章、新型漏洞利用(Exploits)以及网络渗透技巧,邀请网友提交涵盖广泛高级主题的文章,这些主题包括: 通过React和Node.js中反配置缺陷实现的远程代码执行(RCE)。 对API和后端系统的命令注入攻击。 SaaS平台中的不安全直接对象引用(IDOR)漏洞。 现代模板引擎中的服务器端模板导入(SSTI)。 PHP和Java中的不安全反编译利用。 通过Markdown或Office文件渲染实现的客户端代码执行。 针对路由器和摄像头的固件攻击。 RouterOS及类似系统中的权限提升技术。 来自Cisco、MikroTik、Oracle和Ubiquiti产品的利用方法。 浏览器组件(如WebGPU和Blink)中的零日发现。 AI辅助的漏洞发现和逆向工程。 绕过AV和EDR安全系统的技术。 远程过程调用(RPC)机制的利用。 就背景而言,诸如RCE、IDOR和SSTI等漏洞允许攻击者执行任意代码或访问受限数据,而固件攻击则允许对硬件设备进行持久控制。同样,AV/EDR绕过技术旨在规避现代安全解决方案的检测。 T1erOne论坛为参与者制定了严格的指导方针。文章必须发布在指定的论坛板块,并包含特定前缀才能符合资格:提交必须发布在Articles板块,并带前缀“[Contest]”。文章链接必须在竞赛线程中分享,并附上参赛说明。 所有用户均有资格参与,无论注册日期或活跃度如何。严格禁止使用多个账号。此外,竞赛执行内容质量标准:文章必须原创,并基于作者的个人经验。提交内容必须全面涵盖所选主题,包括工具、技术和方法论,包含演示视频可能会提高获胜机会。最低长度要求至少为一页A4纸。不允许复制或转载材料,不鼓励过度使用填充内容。 尽管此类比赛在暗网论坛(如XSS, Exploit.in)其实有着广泛传统,2023年XSS论坛曾宣布举办[XSSware]软件项目竞赛,奖金2万美元。但T1erOne此次明确要求“编写 Exploit”作为核心评估标准,这意味着他们不仅是在收集知识,更是在筛选具有实战杀伤力的工具。对于安全工程师来说,这通常预示着在接下来的几个月里,可能会有新型的攻击手段或未公开的0-day漏洞利用方式从该论坛流向交易市场。 此类竞赛的存在可能令人惊讶,但它标志着暗网论坛内的一个更大趋势。除了非法市场和数据交易之外,这些平台还充当技术交流中心,会员们在这里记录和完善漏洞利用技术,关键区别在于知识应用的意图和背景。 本文只是揭示这些暗网生态系统的运作方式,“暗网下/AWX”不提倡参与此类活动,遵守法律是基本行为准则。 更多暗网新闻动态,请关注“暗网下/AWX”。

一台会“遗忘”的服务器:探索Tor的无状态中继

Tor官方动态, 暗网技术
Tor网络的核心目标是保护用户隐私,让任何人——包括记者、活动人士或举报者——都能在不被追踪的情况下上网。网络设计确保没有单一节点或运营商能知道谁在和谁通信。然而,现实中运行Tor中继节点(relay)面临巨大风险:服务器可能被执法部门扣押、突袭,甚至物理访问。历史上,奥地利、德国、美国、俄罗斯等地都发生过类似事件。一旦服务器被没收,里面存储的密钥、日志或其他数据就可能成为证据,破坏整个网络的信任基础。 为了解决这个问题,有人提出让中继节点变得“无状态”(stateless)。简单说,就是让服务器不保存任何持久化数据,每次启动都从一个已知的、固定的镜像开始运行,就像Tails操作系统那样,一切都在内存(RAM)中完成,重启后所有临时状态自动消失。 本文基于Tor项目官方博客的最新文章,探讨了无状态、无盘操作系统如何从固件到用户空间提升中继服务器的安全性,重点关注软件完整性和抵御物理攻击的能力。这项工作源于意大利Osservatorio Nessuno运行出口中继服务器的经验。中继服务器的管理因具体情况、技术能力、预算和管辖范围而异。我们希望引发讨论,而非提出单一模型。 什么是无状态中继,为什么它更安全? 传统中继节点会把身份密钥(identity key)、带宽历史等信息存放在磁盘上。这些数据让节点能在网络中积累“信誉”(如获得Guard或Exit标志,提高流量分配)。但磁盘数据正是物理攻击的最大弱点:被扣押后,攻击者可以直接复制文件,提取密钥。 无状态系统则彻底反其道而行之: 物理攻击抵抗力:机器被没收或镜像克隆时,内存中的数据会因断电而消失,什么都留不下。密钥如果只存在于特定硬件中,提取难度大幅增加。 声明式配置:整个系统通过版本控制的镜像构建,每次启动都强制应用相同配置,不会“漂移”。 不可变运行时:文件系统设为只读,即使攻击者获得代码执行权限,也无法在重启后持久化恶意代码。 可重现性:系统状态固定,便于验证、审计和复现,减少人为配置错误。 这种思路并非全新。早在2015年,就有Tor-ramdisk项目——一个基于uClibc的微型Linux发行版,专门设计成完全在内存中运行Tor中继。 Tor中继为什么难以实现无状态? 难点主要在于“信誉”和“状态”: 长期身份密钥:Tor中继的ed25519身份密钥决定了节点在网络中的身份。丢失它,就得从零开始积累带宽权重。密钥必须能“活过”多次重启,却又不能轻易被提取。 状态文件:Tor会维护带宽使用历史等临时数据。每次丢弃这些数据会影响性能。 内存限制:完全无磁盘意味着不能使用交换分区(swap)。如果内存不足,Linux内核的OOM Killer会直接杀死进程。实际测试显示,Tor在繁忙的Guard中继上可能占用约5.7GB内存,主要因为目录缓存对象的高频创建与销毁导致内存碎片。通过把glibc内存分配器换成jemalloc或mimalloc,能把占用降到1.2GB以下,大幅改善稳定性。 TPM:硬件级密钥保护的核心工具 解决密钥持久化问题的关键硬件是TPM(Trusted Platform Module,可信平台模块)。这是主板上的一颗独立加密芯片,能存储密钥并执行运算,却从不把私钥暴露给操作系统。 TPM有两个强大功能: 密封(Sealing):把密钥绑定到机器当前的软件测量状态(PCR值)。只有当启动时的固件、引导程序、内核等完全一致时,才能解封使用密钥。即使物理访问硬件,也无法直接导出密钥(不过当前TPM对ed25519支持有限,密钥仍可能以加密字节串形式存于非易失性存储,存在一定导出风险)。 远程证明(Remote Attestation):TPM能向外部验证者证明“当前运行的软件栈正是预期的那个”,签名由硬件根信任背书。这大大降低了运营商自身的可信度要求。 使用TPM时,需要提前决定信任哪些软件状态。更新内核或引导程序后,测量值变化,必须重新密封密钥。这也是目前最大的运维挑战之一。 现有几种实现方案 不同运营商根据安全需求和复杂度,选择不同路径: 最简版ramdisk:直接用Tor-ramdisk之类的工具,所有东西跑在内存。密钥通过SCP手动导入导出,重启前不处理就得重头开始。没有TPM、没有验证启动,但至少保证断电后数据全无,仍比传统磁盘方案强很多。 虚拟机版ramdisk:如Emerald Onion项目,在Proxmox虚拟化平台上为每个中继运行一个仅66MB的Alpine Linux镜像,全部加载到内存,无持久存储。利用Tor的OfflineMasterKey功能:长期主密钥在离线环境下生成,从不接触在线中继。更新就是重建镜像,回滚极其简单,不需要特殊硬件。 裸金属+TPM方案(如Patela工具):使用stboot引导程序——它会从网络拉取并密码验证签名的OS镜像,再移交控制权。运行后,节点通过mTLS从配置服务器拉取配置(服务器即使被攻破也只能拒绝服务,无法推送凭证或偷密钥)。身份密钥密封在TPM非易失性内存中,绑定启动测量状态,能存活重启但无法提取。缺点是必须用裸金属硬件,更新后需重新密封。 尚未解决的技术难题 更新后的重新密封:软件栈变化导致PCR值改变,如何自动化预测并密封新状态?systemd-pcrlock等工具正在改进,但还没做到开箱即用。 无状态与自动升级的矛盾:用unattended-upgrades更新Tor二进制后,重启会回滚到镜像中的旧版本,造成意外降级。如何协调安全补丁和不可变镜像,仍需探索。 内存约束:没有swap,内存使用难以精确预测。分配器优化有帮助,但根本限制依然存在。 网络稳定性:频繁重启可能导致丢失“Stable”标志,影响流量分配。 未来的技术方向 研究者们正在推动更多创新: 远程证明的广泛应用:让目录权威或配置服务器能远程验证节点运行的软件栈,减少对运营商的信任。 透明日志(Transparency Logs):把可重现构建的哈希和TPM测量值公开记录到追加式日志中,社区可以独立监控整个中继舰队。 机密计算:在虚拟机方案中引入AMD SEV-SNP等技术,让虚拟机内存对宿主机管理程序都不可见,进一步缩小虚拟化与裸金属的安全差距。 协议层优化:如Walking Onions提案,能让节点不再需要持有完整的网络视图,从而降低内存需求。未来可能结合Arti(Tor的Rust重写实现)进一步缩小系统体积。 总之,“暗网下/AWX”认为,无状态中继不是一个单一方案,而是一系列权衡:从最简单的内存运行,到结合TPM和远程证明的硬件绑定方案。它在提升物理安全、强制不可变性和可审计性的同时,也带来了运维复杂度和性能挑战。Tor社区希望通过持续讨论和实验,让更多运营商能根据自身环境,选择适合的路径,最终让整个网络对扣押和物理攻击更具韧性。 Tor项目在文章中表示,这项工作始于2025年的Tor社区大会,目前仍在进行中。如果用户正在运行中继服务器、参与Tor工具的开发,或者思考过任何这些未解决的问题,Tor项目都非常希望听到大家的意见。

Indra的BreachForums原管理员N/A被指认为保加利亚知名道德黑客,其坚决否认

独家报道
根据PwnForums论坛发布的耻辱墙公告以及X账号@IntCyber​​Digest的爆料,社交媒体和黑客社区的不同消息来源将保加利亚网络安全专家Angel Tsvetkov与BreachForums的管理员联系起来。BreachForums是买卖被盗数据的主要平台之一,当前主要有三个版本的BreachForums在运营,这里所指的BreachForums是Indra版本的BreachForums。 2026年3月15日,Indra的BreachForums暗网论坛突然无法访问,身份不明的管理员选择关闭了该网站,后来证实这是一起退出骗局。不过,当时网络反情报威胁调查联盟(CCITIC)声称对此事负责。 在Indra的BreachForums论坛关闭了十天后,论坛管理员之一“N/A”使用今年2月份的备份,通过新的域名BreachForums[.]sb重新启动该论坛,这次使用的管理员新化名是“Caine”。两天后,其他工作人员确认Caine就是之前卷款跑路的那个人,之后整个管理团队选择集体辞职。由于没有版主,“N/A”再次尝试出售该论坛的基础设施,此后大概是被DarkForums的Knox买走。 PwnForums称,这并非“N/A”首次犯案,在他担任管理员期间,“N/A”一直通过二级账户进行托管诈骗,兜售他并不拥有的数据库,收取款项却不交付任何产品。他还拖欠与他达成协议但从未履行义务的各方款项。 事件发展的时间线 2026年3月15日:BreachForums论坛无法访问,后经内部讨论,被描述为管理员主导的破坏活动。 2026年3月25日:据报道,BreachForums以“Caine”的化名重新启动,据称使用了之前的备份。 2026年3月27日:管理团队声称“Caine”和“N/A”是同一个人,整个管理团队集体辞职。 3月27日之后:据称管理员试图转移或出售论坛控制权。 被暗网论坛PwnForums钉上耻辱墙上的N/A究竟是谁 PwnForums已确认N/A为安吉尔·茨韦特科夫 (Angel Tsvetkov),他是一名保加利亚网络安全专家、渗透测试员和漏洞赏金研究员,拥有渗透测试和漏洞研究背景。他以其在识别和负责任地披露全球主要平台漏洞方面的工作而闻名。他在HackerOne和Intigriti等平台上享有盛誉,曾报告过影响大型企业的漏洞。他的工作主要集中在Web应用程序安全、漏洞发现和对抗性测试方面。 PwnForums称,Angel Tsvetkov是一位认证的道德黑客,HackerOne会员,曾因负责任的信息披露而获得哈佛大学、福特汽车公司、博世、BBC和OLX等多家企业机构的致谢,并曾荣获新闻媒体BBC和安全公司ESET的多项嘉奖。 然而,他表面上是一名白帽黑客,实际上却运营着最大的数据交易论坛,他同时是暗网论坛BreachForums的管理者,对论坛用户进行托管诈骗,两次卷款潜逃,并试图出售一个并非属于他的论坛。事实证明,道德黑客“负责任的信息披露”是有选择性的。 真实身份是如何关联出 PwnForums称,该归因得到了许多技术证据的支持,例如个人帐户和非法活动之间重复使用IP地址和登录密码,并得到@IntCyber​​Digest等X用户的认可。 从邮箱进行关联,Angel Tsvetkov一个常用的匿名邮箱为[email protected],常使用用户名SecPentester1337与secpente123,在RaidForums、Cracked.to、Dedicatet.com和Altenen等多个网络犯罪论坛注册了账号,填写的出生日期为1993年1月28日,另外在RaidForums论坛上还有一个用户名Vojilion9292与同一邮箱关联。 此外,[email protected]邮箱还关联了一个Twitter账号,注册于2018年9月29日,账号名为“Peter”,用户名为@Peter00111Peter,所在地为保加利亚,个人简介为:“渗透测试/漏洞猎手/道德黑客”。此人在多个正常论坛上使用多个名字,所有名字都与同一个电子邮件地址关联,所有地址都指向保加利亚普罗夫迪夫。 从密码进行关联,N/A的论坛账户密码被破解出来是“Awdawd123!”,然而有趣的是,Angel Tsvetkov个人网络安全咨询公司的官方商务邮箱[email protected]也反复使用同一个密码。 PwnForums感叹,这位获得认证的道德黑客、HackerOne会员、曾为多家机构提供密码安全咨询的人士,竟然在犯罪论坛账号和自己的商务邮箱中重复使用同一个密码。 从IP进行关联,N/A曾使用过的IP地址中有一个是78.130.187.42,该IP地址曾用于登录RaidForums和Cracked等论坛,该IP地址的地理位置位于保加利亚普罗夫迪夫。 无语的是,N/A曾联系PwnForums吹嘘其在该论坛植入后门并上传了一个名称为nike-sh.txt的文件,后该论坛管理员查看nike-sh.txt的访问日志,有且仅有一个IP:78.130.187.42,PwnForums认为Angel Tsvetkov通过自己的家庭IP地址访问了这个文件。 道德黑客Angel Tsvetkov驳斥了这些指控,称其“不实” 然而,保加利亚网络安全专家安吉尔·茨韦特科夫(Angel Tsvetkov)在接受采访时,断然否认了有关他是知名网络犯罪论坛BreachForums管理员的指控。茨韦特科夫称,散布的数据“是虚假的,而且极具破坏性”,并声称这些数据是基于“来自与网络犯罪相关的来源的未经证实的说法”。 当被直接问及他与该平台的所谓关联时,这位道德黑客坚称他没有参与BreachForums论坛的管理或运营,并否认拥有与网络犯罪活动相关的账户或化名。他表示:“我与相关人员没有任何关系,也从未在这些论坛担任过管理员或任何类似职务。” 关于他的身份与网络安全社区内这些活动之间的关联,这位专家指出,他并不清楚第三方是如何在未经授权的情况下使用他的数据的,并澄清说他目前正在分析情况。“我不知道第三方是如何在未经我授权的情况下在这个论坛上使用我的身份和数据的,”他表示。 这位专家在最初的沟通中坚称,已发布的信息“并不反映现实”,并警告说,信息的传播可能会产生影响。 “由于这篇文章的发表,有关我的虚假信息正在传播,执法部门和其他第三方也能看到这些信息,”他指出。

德国联邦刑事警察局公开暗网勒索软件团伙GandCrab与REvil背后头目的真实身份

独家报道
德国联邦刑事警察局(BKA)近期发布重磅消息,正式公开了长期隐藏在幕后的俄罗斯勒索软件巨头“UNKN”的真实身份。31岁的Daniil Shchukin被指控在2019年至2021年间策划了至少130起针对德国企业的计算机破坏与勒索行动。作为两个暗网勒索软件团伙GandCrab和REvil的灵魂人物,他不仅开创了“双重勒索”(Double Extortion)这一流毒无穷的商业模式,更带领团队在短短几年内敛财数十亿美元。 德国卡尔斯鲁厄检察院(网络犯罪中心)和巴登-符腾堡州刑事警察局称: 丹尼尔·马克西莫维奇·舒金因涉嫌组织多起针对企业、公共机构和其他组织的有组织商业勒索软件勒索案而被国际通缉。至少从2019年初到2021年7月,他与其他同伙领导着全球最大的勒索软件团伙之一——GandCrab/REvil。犯罪分子索要巨额赎金以解密数据并阻止数据泄露。在某些情况下,他们还会大规模入侵数据,并威胁称,如果未支付赎金,就会将数据公之于众。 此次德国警方的“开盒”行动,不仅是法律层面的追责,更是对俄罗斯勒索软件避风港的一次有力反击。虽然Shchukin和同伙Kravchuk目前极有可能仍潜伏在俄罗斯境内,甚至可能受到了某种程度的“默许保护”,但BKA的这份通缉令意味着他们已彻底失去了在全球范围内洗钱和出行的自由。 UNKN是一位现年31岁的俄罗斯黑客,也是双重勒索的鼻祖 在网络安全界,“UNKN”(也称Unknown)曾是一个令人闻风丧胆的代号。他是俄罗斯勒索软件生态系统中最具影响力的核心人物之一。然而,根据BKA官方通缉页面披露的细节,这位曾不可一世的黑客真名叫作Daniil Maksimovich Shchukin(丹尼尔·马克西莫维奇·舒金),现年31岁。 德国警方调查发现,Shchukin与其43岁的同伙乌克兰裔俄罗斯公民Anatoly Sergeevitsch Kravchuk,在2019年到2021年这三年的黄金作案期内,犯有130项有组织商业勒索罪,通过精心设计的网络攻击,仅通过25起案件就直接敲诈了近200万欧元的赎金。但这只是“冰山一角”,据BKA估算,仅在德国境内,他们造成的直接经济损失就超过了3540万欧元,受害者涵盖了大量中型企业和公共机构。 如果要问Shchukin对勒索行业最大的“贡献”是什么,那无疑是他首创的“双重勒索”策略。 在早期的勒索软件时代,黑客只是单纯加密受害者的文件,受害者付钱拿密钥。但随着备份技术的普及,很多企业选择拒绝交钱。而UNKN领导的团队改变了逻辑:在加密之前,他们会先利用脚本静默窃取受害者的机密数据(Exfiltration)。 这意味着,即使你有备份,如果你不付钱,他们就会在名为“HappyBlog”的泄露站点上公开你的商业秘密和员工个人隐私。这种“不交钱就社死”的手段,直接将勒索的成功率提升到了一个新的维度。 勒索从未停歇,从GandCrab过渡到REvil 暗网勒索软件团伙GandCrab最早于2018年初出现,最初通过包含恶意附件的垃圾邮件传播。GandCrab在2019年宣布“金盆洗手”时,曾嚣张地宣称他们已经勒索了超过20亿美元。但这只不过是一次拙劣的品牌重塑(Rebranding)。 GandCrab消失后不久,REvil(又名Sodinokibi)便以几乎相同的底层代码架构高调亮相。REvil迅速成为全球最具攻击性的勒索软件组织之一,并在2021年被瓦解。其受害者包括Lady Gaga的律师事务所、美国总统唐纳德·特朗普等知名人士以及美国软件提供商Kaseya等大型公司。 Shchukin被认为是这两个组织的共同头目。他通过RaaS(Ransomware-as-a-Service,勒索软件即服务)模式,将网络攻击规模化。他提供恶意软件平台,招募全球的“盟友”(Affiliates)去入侵企业,最后双方按比例瓜分赃款。这种模式直接降低了技术门槛,导致2020年左右全球勒索攻击频率呈指数级上升。 从2019年至2021年那段疯狂的时期,这两人利用复杂的混淆技术(Obfuscation)和加密货币洗钱网络躲避追踪。2022年,俄罗斯联邦安全局(FSB)宣布逮捕了14名涉嫌REvil成员,但此案的法律程序进展缓慢。仅有8名嫌疑人在莫斯科出庭,面临与非法金融交易相关的指控,而庭审也多次延期。2024年,Sodinokibi/REvil的关联黑客24岁的乌克兰公民雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi,又名Rabotnik)因参与7亿美元勒索软件计划而被美国判刑。 如今,随着多国执法机构的协作,这些曾经的数字幽灵正在逐一显形。在此,“暗网下/AWX”告诫勒索软件团伙:在网络安全世界里,没有永远的匿名与隐身。无论使用了多么复杂的代理、VPN或者加密手段,只要在物理世界留下了痕迹,天网恢恢,疏而不漏,正义的审判迟早会到来。

BreachForums[.]sb被Knox买走,据称冒牌Shinyhunters推出了又一个BreachForums

暗网网站, 独家报道
BreachForums论坛是一个为黑客及网络犯罪分子提供买卖被入侵数据库、黑客工具以及分享网络犯罪知识的暗网平台。与BreachForums论坛相关的各种戏剧性事件层出不穷,而且愈演愈烈。尽管屡遭执法部门的打击,偶尔还会发生内部冲突,但专注于买卖数据泄露的论坛仍然不断涌现。 “暗网下/AWX”梳理了近期Indra的BreachForums的变迁,在其关闭BreachForums之后,BreachForums[.]sb经过了几轮变化,先是被@Caine持有并继续运营,之后该论坛的管理团队集体退出。后明网域名BreachForums[.]as与BreachForums[.]sb被DarkForums的Knox买走,而据称是冒牌的Shinyhunters又开设了一个新明网域名BreachForums[.]ai来运营新版本的BreachForums。 Indra的BreachForums的工作人员集体辞职 @paw(@pine)在BreachForums[.]sb发布公开声明表示,BreachForums[.]sb的6名工作人员(@pine、@Loki、@888、@Tanaka、@paw、@Addka72424)已辞职,并声明:“请勿信任任何新出现的或现有的克隆站点,BreachForums这个名字已经不复存在,且永远不会回归。” 对此,在Telegram上假冒Shinyhunters的管理员@Caine声称,旧论坛的工作人员退出,是因为“勒索”。这些版主要求以1000美元的门罗币作为报酬,以补偿他们所做的一切工作。在被他拒绝后,他们选择了离开。而论坛将会组建新的工作人员团队。 BreachForums[.]as与BreachForums[.]sb显示了新的提示信息 “暗网下/AWX”尝试访问BreachForums[.]as与BreachForums[.]sb这两个明网域名,两个网站均显示相同的界面UI风格,一眼可以看出显然属于同一个所有者。 BreachForums[.]as网站展示了BreachForums[.]sb的明网域名与暗网域名: BreachForums[.]sb则称,BreachForums现已完全由Knox(knox.hn)掌控。所有数据(包括最新的数据库和源代码)均已得到妥善保管。不再有混乱和诈骗,不再有不确定性——一切现已实现集中管理。请勿信任任何克隆站点。并提供了Telegram联系方式。 上周重启的一个新BreachForums论坛 周一,一名自称是勒索组织ShinyHunters成员的人宣布重启运营一个新的的BreachForums论坛(BreachForums[.]ai)。但一位与ShinyHunters官方频道有关联的人士表示,该组织与BreachForums的任何重启都毫无关系。他们表示:“我们与那个论坛没有任何关系。自从2025年10月10日被FBI查封后,我们就再也没有重启过它。” 本周重启的BreachForums论坛是“暗网下/AWX”前期介绍的Indra的BreachForums论坛的延续,上个月,Indra的BreachForums论坛的“基础设施,包括完整的数据库和源代码”,被“直接从其托管服务器”黑客入侵,并以1万美元的价格出售。新BreachForums论坛管理员(化名“x”)表示,前任管理员“N/A”得知此事后“惊慌失措,带走了能带走的东西,然后立即离开,没有通知社区”,之后“数据库就落入了不明人士手中”。 这一惊慌失措的说法似乎指的是3月16日发布在论坛旧版本上的一条公告,该公告宣布“BreachForums已死”,并正在寻找新的管理团队。公告表示:“我们现在正在寻找一位负责任的个人或团体,愿意接管论坛的领导权并继续提供支持。” 除了ShinyHunters的官方否认之外,安全研究人员还详细列举了“x”的说法中的矛盾之处,暗示其内容不实,并表示一些合法的BreachForums前运营者似乎正在注册多个BreachForums域名,以阻止类似的重启声明出现。 ShinyHunters表示,此次重启是利用先前泄露的数据发起的一系列BreachForum虚假论坛中的最新一起。该组织的一名成员说道:“其他威胁行为者能够恢复一个外观相似的合法论坛,包括重新导入旧用户数据,其中也包括我自己的ShinyHunters账户。” IntelOpsV3称冒牌SH推出的BreachForums论坛又是一个冒牌货 暗网情报研究者@IntelOpsV3称,在Indra关闭其BreachForums并实施“卷款跑路”的时候,一个冒牌的SH(Shinyhunters)带着另一个冒牌的BreachForums(BreachForums[.]ai)出现了。于是,几乎在同一时间,至少有3个一模一样的网站,都声称自己是真正的BF。但不知道这些所谓BreachForums能运营多久。 新BreachForums论坛使用了暗网域名:http://c66go4clkqodr7tdjfu76jztjs7w7d3fajdeypxn73v4ju3dt7g5yyyd[.]onion @IntelOpsV3提醒,其正在密切关注所有新的BF克隆站点,请谨慎对待所有这些新克隆站点。因为原BreachForums的PGP密钥、网站代码和数据库都已泄露,是时候让Breachforums这个名字长眠了。 @IntelOpsV3称,这是新的BF团队,可以看到他们在TG上假扮成“Shinyhunters”,他们声称自己是唯一的正宗BF,他们还发布了一则警告,称其他克隆站点均为假冒。这个新冒出的BreachForums克隆站点由doxeur、kiroshell和breach3d所有。breach3d就是那个发布假Dell数据库的冒牌Shinyhunters。 但可惜的是,SLSH已经发布了BFv5数据库,并指认他们是冒牌货。真正的SLSH称:“目前所有的论坛都是假的 [ .sb .ac .fi .bf .us 等],如果它们继续存在,我们将泄露所有BF的备份。因为我们掌握了所有MyBB 1.8版本的漏洞利用代码。” @IntelOpsV3称,这个论坛是假的。这个论坛的ShinyHunters是个冒牌货。他们冒充IntelOps、Pine、Loki等组织,正如你们从我们的推特帖子中看到的,这个论坛里充斥着各种角色扮演。 BreachForums[.]ai的管理员“x”发布公告驳斥@IntelOpsV3 BreachForums[.]ai的管理员“x”于4月2日发布公告进行回应,并澄清该论坛的现状。“x”表示,他们没有导入旧BreachForums的SQL数据库,并不意味着他们是蜜罐(honeypot)或退出骗局(exit scam)。他自称这是一个全新的开始,这是BreachForums的官方延续。并请大家在做出假设前,先进行适当的研究,不要基于不完整的信息下结论。 公告表示,他们理解大家的怀疑,但事实不会改变。一旦论坛完全开发并稳定下来,他们将对克隆站点采取行动。“x”称,一些来源(如 Twitter 上的 IntelOps (@intelopsv3))散布了虚假信息,声称其是退出骗局。这些说法是错误的。IntelOps有历史性地不经查证就发布信息,并经常误报或歪曲细节。 “x”称,他们鼓励大家保持信息灵通、核查事实,并避免匆忙下结论。他们不是蜜罐/退出骗局。 公告表示,如果是蜜罐,他们会尝试修改MyBB源代码来尽可能记录用户的信息。相反,他们移除了IP记录,并用自定义构建的垃圾邮件预防系统取而代之。即使FBI或任何执法机构查封后端服务器也找不到任何有用的东西。 “x”宣称自己的VPS是完全加密的,用户的隐私是优先事项。 SLSH冒牌者究竟是谁 独立安全研究人员Ryan Moran(@rmoskovy)表示,在对这位自称“ShinyHunters”冒牌者进行分析时,我使用一个假账号通过Telegram向其发送消息,声称需要向“Rey”(一名与SH/SLSH有关联的威胁行为者)偿还一大笔钱,并要求对方提供“Rey”的联系方式。 然而,对方非但没有提供“Rey”的联系方式,反而要求@rmoskovy直接向其汇款。当进一步追问时,对方发来了一个拼写错误的账号,该账号是“Rey”真实用户名的拼写变体: 2026-02-26 -> Qilin 2026-02-26 -> Rey 2026-02-20 -> Qiliin 2026-01-24 -> XiaoBtc ( MBTC ) 2025-12-24 -> MBTC 2025-12-24 -> Crimesite 2025-11-08 -> Bjorka 2025-11-04 -> NinjaBoi6890 2025-10-31 -> SkyHunters 2025-10-25 -> Asley 2025-09-10 -> Kimbo 2025-06-09 -> Bebale Office 2025-05-15 -> Lesley

研究显示,暗网的确会吸引年轻、自控力差、有犯罪风险及暴力倾向、受过良好教育的男性

暗网纵论
在网络安全和犯罪预防领域,暗网一直被视为一个双刃剑式的存在。暗网不仅是举报人和隐私倡导者的聚集地,它对具有特定犯罪特征的人来说也极具吸引力。因此它既能为隐私保护、绕过审查提供合法渠道,也常常成为违法活动的温床。 随着人们对暗网的兴趣日益浓厚,研究人员正密切关注其访问者群体。暗网营造了一种环境,使有犯罪动机者、潜在受害者和监管缺失者汇聚一堂,而自控力低下和同伴影响等特征或许可以解释哪些人会被暗网吸引。然而,基于犯罪学的、比较暗网用户和表网用户的研究却十分匮乏。一项基于美国全国样本的最新研究,深入剖析了哪些人群更倾向于访问暗网,并揭示了其中与犯罪学特征密切相关的心理和社会因素。 一个由佛罗里达大西洋大学(Florida Atlantic University)及合作者组成的研究团队收集了1750名成年人的调查数据,对比了暗网用户与普通表网(surface web)用户在多个维度上的差异。结果显示,虽然访问暗网本身并不违法,但这一隐秘空间确实对某些特定人群具有更强的吸引力:他们通常更年轻、男性居多,且在冲动控制、社会交往和态度倾向上表现出明显的犯罪风险特征。 该研究发表在《犯罪与司法》(Journal of Crime and Justice)杂志上,具体研究结论如下: 犯罪关联性高达3倍: 33.6%的暗网用户报告曾有犯罪记录,而表网用户中只有12.6%的人报告曾有犯罪记录。 低自控力:使用隐藏网络的用户在冲动性和冒险性量表上的得分要高得多——这些特质传统上与现实世界中的犯罪行为有关。 同伴影响:低自控力与暗网使用之间近一半的联系可以用社会学习来解释——冲动的人会和“网络变态”的同伴混在一起,这些同伴会教他们如何浏览暗网。 令人担忧的态度:暗网用户对盗窃、网络犯罪和暴力行为的支持度高于那些只使用“表层”网络的用户。 人口统计特征:研究中确定的典型用户是年轻的男性异性恋者,而且有趣的是,他们更有可能受过更高的教育。 数据显示,暗网用户中约有33.6%的人曾有过刑事犯罪记录,这一比例几乎是表网用户的三倍(后者仅为12.6%)。此外,暗网用户在低自我控制量表上的得分显著更高,这类特质往往与现实世界中的冲动行为和风险偏好紧密相关。他们更容易对盗窃、网络偏差行为以及针对他人的身体暴力持宽容或支持的态度。 更值得安全人员关注的是社会学习机制的作用。研究发现,低自我控制与暗网使用之间的关联,有近一半可以通过“偏差同伴影响”来解释。那些冲动性较强的人,往往会与同样从事网络偏差活动的朋友圈交往。这些同伴不仅提供技术指导——比如如何使用Tor浏览器或VPN安全进入暗网——还通过日常互动强化了相关的风险态度和技能。这一点与传统犯罪学中的社会学习理论高度吻合:在现实犯罪中,偏差同伴常常是推动个体迈向违法行为的“引路人”,而在数字空间中,这一机制同样适用。 人口统计特征方面,暗网用户更可能呈现出年轻、男性、异性恋以及受教育程度相对较高的特点。这或许与访问暗网需要一定的数字素养和技术门槛有关,但同时也提醒我们,高学历并不必然等于高自我控制。相反,在匿名性和低监管的环境下,这些能力有时反而会成为进入风险区域的“敲门砖”。 研究主要作者佛罗里达大西洋大学社会工作与刑事司法学院犯罪学与刑事司法系主任瑞安·C·梅尔德鲁姆(Ryan C. Meldrum)博士强调,访问暗网并不等同于从事非法活动,它在保护隐私、获取受审查信息等方面仍有正面价值。然而,从犯罪预防的角度看,这一平台确实构成了一个高风险的数字环境:动机明确的潜在犯罪者、易受影响的个体以及有限的执法监督在此交汇,容易放大犯罪机会和受害风险。 该研究的补充分析表明,社会学习因素或许可以解释为何低自控力与访问暗网之间存在关联。具体而言,低自控力与使用该平台之间近一半的关联似乎可以通过个体所结交的同伴及其形成的态度来解释。这表明,自控力较低的人可能会选择那些强化冒险或越轨行为和态度的同伴,从而获得浏览暗网所需的知识和技能。 该研究强调了进一步研究访问暗网的互联网用户这一虽小但重要的群体(特别是那些意图从事违法犯罪活动的用户)的必要性。 梅尔德鲁姆表示:“随着互联网的不断发展,了解谁在访问暗网以及他们访问暗网的原因至关重要。我们的研究表明,既要意识到潜在风险,又要认识到这些隐秘网络空间在日常生活中的合法用途,这一点非常重要。” 该研究的共同作者是阿拉巴马大学犯罪学和刑事司法系的雷蒙德·D·帕廷博士;以及山姆休斯顿州立大学刑事司法和犯罪学系的彼得·S·莱曼博士。 原始研究: “犯罪史、低自控力和社会学习变量在访问暗网中的作用” “The role of criminal history, low self-control, and sociallearning variables in accessing the Dark Web” 作者:Tommi Väyrynen、Johanna Tuunanen、Heta Helakari、Ahmed Elabasy、Vesa Korhonen、Niko Huotari、Johanna Piispala、Mika Kallio、Maiken Nedergaard 和 Vesa Kiviniemi。 Journal of Crime and Justice DOI:10.1080/0735648X.2026.2621153 作为网络安全从业者,“暗网下/AWX”认为,需要从这项研究中吸取几点实战启示。首先,在威胁情报收集和用户行为分析时,应将低自我控制、偏差同伴关联以及过往犯罪记录作为重点监测指标,尤其针对年轻男性群体。其次,预防教育不能仅停留在技术层面,更要结合社会学习原理,帮助个体识别并抵御不良同伴的影响。最后,随着互联网生态的持续演变,对暗网用户群体的持续跟踪研究至关重要,这有助于我们更好地平衡隐私保护与公共安全之间的关系。 总体而言,这项研究为我们理解暗网的“用户画像”提供了实证依据。它提醒安全团队:在技术防护之外,针对心理和社会因素的干预同样不可或缺。只有更精准地识别风险人群,我们才能更有效地降低暗网相关犯罪的发生概率,同时避免对合法使用者的过度干扰。 关键问题解答: 问:浏览暗网是否违法? 答:绝对不违法。正如瑞安·C·梅尔德鲁姆(Ryan C. Meldrum)所指出的,暗网支持许多合法活动,例如获取新闻或进行私人通信。然而,研究表明,暗网的匿名性往往会吸引那些本身就具有冒险和违法犯罪行为倾向的人。

俄罗斯顶级暗网论坛XSS突然更换暗网域名与明网域名

暗网域名, 暗网网站, 独家报道
最近几天,网络安全圈和暗网监控平台纷纷爆出猛料,长年盘踞在俄罗斯网络犯罪头部的XSS论坛(原xss[.]is)在被国际联合执法行动打击数月后,正在开始一场大规模的基础设施迁移。暗网监控账户Daily Dark Web和Dark Web Informer相继在社交媒体X上发布预警,指出臭名昭著的俄罗斯暗网论坛XSS已经开始引导用户访问其新明网域名XSS[.]ac,并同步更换了暗网域名。 作为一个从2013年就开始活跃的老牌社区,XSS的前身是著名的 DaMaGeLaB。根据维基百科XSS.is条目的介绍,它不仅是黑客们交流漏洞、买卖 0-day 的地方,更是勒索软件(Ransomware)开发者寻找合作伙伴、招募分销商的核心枢纽。 2025年7月,“暗网下/AWX”曾经报道,法国警方与乌克兰同行和欧洲刑警组织合作逮捕了XSS[.]is的其中一名主要管理员,并查封XSS[.]is主域名。然而,执法行动并没有摧毁XSS[.]is包括服务器在内的基础设施,其在俄罗斯的庇护下依然活着,备用明网域名XSS[.]as与.onion网站依然可以访问。 基础设施迁移背后的技术博弈 在被执法机构打击后,在过去的几个月里,XSS论坛的基础设施一直处于不稳定的状态,XSS论坛的管理员一直在试图优化其反爬虫和反 DDoS(分布式拒绝服务攻击)策略。 正如“暗网下/AWX”曾介绍,XSS论坛在被警方打击后,虽然XSS[.]is域名显示了查封通知,但备用明网域名xss[.]as、.onion网站(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)和位于thesecure[.]biz的Jabber服务仍在线运行。对于这种级别的网络犯罪枢纽,保护后端数据库的安全性是重中之重,因为后端基础设施被警方掌握,所有未加密的私信和交易记录都可能成为抓捕黑客的铁证。 更换全新的明网域名、暗网域名,也许是为了保护后端基础设施的安全,这反映了网络犯罪团伙为维持韧性并规避干扰所做的持续努力。 经本站(anwangxia.com)测试,目前,其原先的明网域名XSS[.]as、暗网域名(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)均无法正常访问,仅可使用全新域名进行访问。 经查询Whois信息,新的明网域名XSS[.]ac注册于2016年3月10日,ac域名是英国海外领土阿森松岛的顶级域名(TLD)后缀。目前, 新明网域名XSS[.]ac使用了云服务商Cloudflare的解析中转服务。新的暗网域名几乎同一时间推出,域名为:https://xssac4uqtauxumkktnp3knz2ag7qcb3efmb66mokjg5fcqhzvilgwfid[.]onion XSS未来能否继续活在俄罗斯的庇护下 虽然XSS试图通过更换域名来“续命”,但现实情况并不乐观。随着国际执法合作的加强,尤其是针对暗网基础设施的协同打击,这类论坛的生存空间正在被极限压缩。尽管有传言XSS论坛在俄罗斯的庇护下才能发展如此壮大,但有Leakbase的前车之鉴在,也许俄罗斯该打击还是要打击。 另外,在黑客圈子里,信任是比比特币更珍贵的货币。频繁的宕机、域名的临时变更,以及关于管理员可能被“渗透”的传言,正在让XSS的核心用户流向其他新兴平台,比如DamageLib。如果XSS无法证明其新域名的安全性,或者在基础设施管理上继续表现出疲态,这个曾经的“黑客圣地”很可能会步其前辈的后尘,最终走向崩塌。 更多暗网新闻动态,请关注“暗网下/AWX”。

澳大利亚新南威尔士州警方捣毁暗网贩毒集团,涉案金额超8000万澳元

其他国家动态, 暗网动态
近日,澳大利亚新南威尔士州(NSW)警方成功摧毁了一个在暗网深耕八年之久的跨国贩毒集团。据称,该团伙通过加密货币和暗网独立运作,在八年内累计非法获利超过8000万澳元,是暗网上最大的匿名毒品供应商之一。 目前,五名核心成员已悉数落网并接受审判,这一行动标志着南半球针对网络犯罪打击的重大胜利。此次行动由卡里维尔打击小组执行,该小组由新南威尔士州犯罪指挥部网络犯罪小组与澳大利亚新南威尔士州打击犯罪委员会合作成立。 卡里维尔打击小组开展新的收网行动 根据新南威尔士州警察局发布的官方公报,新南威尔士州警察网络犯罪打击小组在索恩利逮捕了一名38岁男子,指控他处理非法犯罪所得。 2026年3月31日上午10点30分左右,新南威尔士州警察网络犯罪打击小组在猛禽小队的协助下,在索恩利逮捕了一名38岁的嫌疑人,该嫌疑人身份不明。此次逮捕行动是警方对毒品供应行动进行广泛法医调查的结果。 随着调查的继续,3月31日下午1点20分左右,警方搜查了瓦伦加(Wahroonga)太平洋高速公路上的一个单元,据称查获了电子设备、3.5万澳元现金和20克非法毒品。3月31日晚上8点10分左右,警方搜查了科拉山(Mount Colah)奥克斯利大道(Oxley Drive)的一处住宅,又查获了一定数量的大麻和大量吸毒用具。这名38岁的男子被控明知故犯地处理犯罪所得,以及三项未遵守数字证据访问令指令的罪名。 这起案件的侦破并非一蹴而就。调查人员通过对暗网交易数据的长线追踪,锁定了这个从未公开名称、却在地下市场声名显赫的供应商。据媒体报道,该团伙自2016年起便开始在多个暗网市场活跃,通过高度组织化的供应链,向全球数千名买家分发包括MDMA、可卡因、氯胺酮和甲基苯丙胺在内的各类违禁品。 八年“暗网独立毒品供应商”的覆灭 与许多依赖大型分销网络的犯罪团伙不同,该集团的一大特点是“独立运作”。他们建立了自己的一套从采购、封装到物流配送的完整体系,极大增强了其隐蔽性。 在技术层面上,该团伙表现出了极强的反侦查能力。他们利用PGP加密技术进行通信,并仅接受门罗币(Monero)等匿名性极高的加密货币支付,以逃避金融监管机构的追踪。在长达八年的时间里,他们通过复杂的“混币”操作,将超过8000万澳元的非法收入洗白并投资于房地产和高端电子产品。 在抓捕现场,警方查获了大量加密设备、多枚用于存储虚拟货币的硬件钱包,以及用于包装和伪装邮寄毒品的专业设备。警方发言人指出,该团伙的运作模式几乎等同于一个现代电子商务企业,只是他们经营的是法律决不允许的黑产。 嫌犯面临法律的严惩 目前,这五名嫌疑人面临包括供应商业数量毒品、参与犯罪集团以及处理非法所得在内的多项重罪指控。尽管他们在暗网上自认为“不可触及”,但在多国联合情报和本地技术侦查的配合下,其真实的物理身份最终暴露。 检方表示,该团伙非法获利的规模之大、持续时间之长,在澳洲网络犯罪史上实属罕见。警方通过此次行动向暗网参与者发出了强烈信号:匿名并不意味着绝对安全,数字足迹终会被技术手段还原。 被告被拒绝保释,将出庭霍恩斯比地方法院。新南威尔士州警方表示,卡里维尔打击小组的后续调查仍将继续,重点将转向追踪散落在全球各地的非法资产及可能存在的关联洗钱账户。这起耗时数年的大规模执法行动,不仅斩断了一条重要的暗网供应链,也为打击全球跨境网络犯罪提供了宝贵的实战案例。 任何知悉有助于调查非法毒品供应信息的人士,请拨打灭罪热线1800 333 000或访问https://nsw.crimestoppers.com.au提供线索。所有信息均将严格保密。请公众切勿通​​过新南威尔士州警方社交媒体页面举报信息。