近日，根据Tor项目官方博客的消息，台湾师范大学计算机科学与资讯工程系学生苏恩立（Su En-Li，网名NZ）通过正规行政途径，成功说服校方在管理严密的台湾学术网络（TANet）内设立了首个校园Tor中继节点。这一举动不仅在技术上为全球匿名网络贡献了带宽，更在学术界发起了一场关于“匿名权不等于犯罪工具”的思想启蒙，证明了学生力量在推动互联网自由与隐私保护方面的巨大潜力。 苏恩立本人对信息安全和网络治理有着浓厚的兴趣，除了技术实践之外，他还致力于知识分享，在台湾师范大学GDGoC学生社团担任匿名网络课程讲师。他长期活跃于台湾的开源和信息安全社区，并多次在SITCON、HITCON和COSCUP等大型技术会议上担任志愿者，展现了丰富的社区服务经验和对技术的热情。 What does it take to run a Tor relay at a university? This real-world story from National Taiwan Normal University shows how a student made it happen. Read the full experience + lessons learned: https://t.co/Ln7uMSaK1K — The Tor Project (@torproject) March 23, 2026 一场关于规则与信任的博弈 在许多地方，互联网受到严密监控和集中管理。在这种环境下，匿名通信不仅仅是一种技术选择，它更能保障安全的探索、研究和表达。在台湾，这一点尤为重要，因为地处东亚敏感地带。互联网自由和沟通韧性是应对现实压力的实用技能。 在网络管理极其严苛的台湾学术网络（TANet）环境中，任何涉及“匿名”或“绕过监管”的技术通常都会被视为禁忌。然而，台湾师范大学（NTNU）计算机科学与资讯工程系三年级的一名本科生苏恩立打破了这一僵局，苏恩立成功地在台师大校内建立并运行了首个正式的Tor中继节点（Relay Node）。 这件事的复杂性并不在于技术实现，而是在于如何通过层层行政审批。在许多网管人员眼中，Tor（洋葱路由）往往与“暗网”或“非法交易”挂钩。苏恩立意识到，要让学校接受这个项目，必须先从教育和沟通入手。他并没有选择“黑进”网络私自搭建，而是通过撰写正式邮件，与校内的网络管理员、相关教授以及系主任进行了多次深入沟通。 低风险的中继节点而非出口节点 苏恩立的动机很简单。如果台湾的匿名网络只出现在小众社群、海外虚拟专用服务器（VPS）上，或者被视为灰色地带的工具，它们就不会被认真对待。大学——尤其是像TANet这样的学术网络——旨在支持研究、实验和公共利益。正因如此，这种基础架构才能真正发挥作用。 为了降低校方的顾虑，苏恩立在提议中明确了技术边界：建立的是“中继节点”（MiddleRelay），而非“出口节点”（ExitNode）。他用大学能够理解的方式来解释它： 这是一个Tor中继节点，而不是出口节点。 它不直接向外部用户提供内容。 这是一项关于网络基础设施和匿名通信的实验。 在流程方面，他与网络管理员、教授和系主任交换了电子邮件。他确保所有需要签字确认或被抄送的人都明白这台机器的功能。大学的要求很实际：如果教育部询问，他们需要能够解释清楚。这便成了沟通的切入点。 从技术细节上看，中继节点在Tor网络中仅负责接收加密流量并转发给下一个节点，它既不直接与目标网站通信，也不会在校方IP下产生任何外部访问记录。这意味着，即便有人通过Tor网络进行非法活动，校方的IP也不会出现在任何受害服务器的访问日志中。这种低风险、高贡献的方案，最终赢得了台师大计信系决策层的认可。 在采访中，苏恩立提到，他不仅提供了详尽的技术文档来解释Tor的工作原理，还强调了学术机构在支持全球互联网自由方面的道德义务。他认为，作为计算机专业的学生，有责任维护一个开放且安全的网络环境。 匿名网络不等于犯罪工具 除了技术层面的推动，苏恩立还通过校园里的学生社团组织匿名网络相关的活动，介绍 Tor、匿名通信及其背后的设计原则。即使参与人数并不总是很多，这些活动也帮助人们理解了“匿名网络≠犯罪工具”，而无需依赖刻板印象。他的核心观点非常直接：匿名是保护记者、维权人士以及普通公民隐私的必要工具，不应因少数人的滥用而全盘否定其价值。 通过这些活动，他成功地将Tor从一个神秘的“黑客工具”转化为了一个具有学术研究价值的课题。在他的努力下，台师大计信系不仅提供了一台服务器和稳定的出口带宽，更在行政层面上为未来的网络隐私实验开辟了先河。这标志着台湾学术界在对待网络匿名性问题上，开始从单纯的“封堵”转向更有深度、更具包容性的“研究与支持”。 学生力量的示范效应 在国立台湾师范大学，所有出站连接默认都被阻止。任何服务都需要申请例外，包括提供IP地址、预期用途和相关证明文件，并最终确保符合学校向教育部汇报的流程。苏恩立形容这个申请的过程既繁琐又在意料之中，只要愿意填写文件并清楚地解释事情，这条路是存在的。 苏恩立的行为在台湾甚至亚洲的大学生圈子中产生了连锁反应。他证明了当一名学生掌握了正确的沟通策略与扎实的技术基础时，是可以改变臃肿的行政体系对新兴技术的看法的。他所建立的节点不仅为全球Tor网络增加了节点多样性，也为其他希望在校内推动隐私技术的学生提供了一份可复制的“行政沟通指南”。 在台湾师范大学部署Tor中继的这次尝试并非终点，也并非最终答案。然而，它清楚地证明了一件事：在台湾大学里，只要愿意沟通和解释，匿名网络并非完全没有用武之地。 这一节点的稳定运行，不仅是台师大的荣誉，更是对TANet传统管理模式的一次温和且有力的挑战。它告诉我们，隐私保护并非法外之地的避难所，而是每一个数字公民应得的基本权利。

近日，谷歌云官方博客正式披露了其利用Gemini AI代理大规模监控暗网的最新进展。谷歌在其威胁情报平台（Google Threat Intelligence）中引入了Gemini AI代理，用于自主监控暗网论坛，这标志着网络安全情报和AI驱动的威胁检测领域取得了重大进展。 目前，该系统目前处于公开预览阶段，依托Gemini AI代理的强大算力，每日可自动筛选超过1000万条暗网数据，通过为企业量身定制“数字画像”，在黑客发动攻击前精准识别潜在风险，例如数据泄露、内部威胁和初始访问代理活动。 “在之前的岗位上，我曾使用过几种暗网工具，发现它们的平均误报率超过90%。而新的暗网情报工具则彻底改变了这一现状，它能够过滤掉噪音，并将人类分析师无法及时发现的线索串联起来。这就像是在火苗燃起之前就将其扑灭，而不是亡羊补牢。”LastPass威胁情报总监Michael Kosak说道。 谷歌用Gemini筑起暗网防火墙 长期以来，暗网一直是网络犯罪分子的避风港，从泄露的数据库、定制的勒索软件工具到针对特定公司的攻击计划，海量情报隐藏在无数个隐秘论坛和加密频道中。传统的人工筛查或关键词检索方式在面对爆炸式增长的数据量时，往往显得捉襟见肘。 为了帮助提炼情报并发现隐藏的对手，谷歌在Google威胁情报中融入了智能体功能，并引入“暗网情报”（Dark Web Intelligence）。这项服务标志着网络安全防御从“被动响应”向“主动预判”的战略性转型，通过将情报生产从脆弱的关键词匹配转移到基于意图的分析，暗网情报可以更好地了解对手行为的背景——例如，即使威胁行为者故意避免指明受害者，也能识别出子公司的访问权限是否被攻破。 内部测试表明，该系统能够以98%的准确率分析每天数百万个外部事件，并仅突出显示对用户的任务真正重要的威胁。此外，通过提供解释威胁“原因”和“方式”的合理答案，该系统能够帮助防御者节省时间，并确保他们在日益自动化的威胁环境中保持情报优势。 此次部署标志着暗网监控方法的重大转变，传统方法依赖于静态关键词抓取和基于正则表达式的检测。这些传统方法通常会产生高达80%到90%的误报率，导致安全团队被大量无法处理的警报淹没。相比之下，Gemini利用先进的大型语言模型(LLM) 和上下文分析，显著提高了检测准确率和运行效率。 每日千万级数据的“大海捞针” 谷歌的Gemini AI代理目前每天能够自动化爬取并处理超过1000万条暗网帖子，利用大规模遥测数据和基于向量的比对方法，将威胁信号与特定的组织概况关联起来。通过整合开源情报和用户提供的数据，该系统构建了企业资产的详细概况，包括品牌、高管和技术基础设施。这使得AI能够将模糊或间接的威胁指标直接​​映射到相关目标。由此可以看出，这并非简单的爬虫技术，而是真正意义上的“代理式AI（Agentic AI）”应用。 该系统的核心工作流分为两个阶段： 组织概况构建（Profiling）： Gemini首先会利用其多模态理解能力，深度学习订阅用户组织的架构、资产、关键人员以及特定的技术栈，构建出一个高度精确的“防御画像”。 语义化关联分析： 随后，AI代理会带着这个画像进入暗网的庞大数据库中。不同于传统的关键词匹配，Gemini能够理解黑客俚语、代码片段和非结构化的对话内容。即使黑客在讨论时使用了隐语或简称，AI代理也能通过上下文推断出其是否正在针对该组织进行漏洞买卖或数据泄露。 这种大规模的语义分析能力，使得企业能够从每天数千万条“噪音”中，精准提取出那几条致命的威胁情报。 防御者的“降维打击” 谷歌威胁情报团队指出，目前的网络攻击链条中，从初始入侵到数据榨取的时间窗口正在不断缩短。传统的防御手段往往在数据已经出现在暗网交易平台上后才能感知，而Gemini AI代理的目标是在攻击者还在讨论“可行性”或“分赃协议”阶段就发出预警。 此外，该服务还集成了曼迪昂特（Mandiant）多年积累的实战情报。通过将Gemini的实时处理能力与曼迪昂特的历史威胁库相结合，系统可以识别出特定威胁源（APT组织）的作案手法。对于安全运营中心（SOC）的工程师来说，这意味着他们不再需要熬夜翻看晦涩的暗网日志，Gemini会直接递交一份包含“谁在威胁我们、他们拥有什么筹码、我们该如何封堵”的简报（支持中文等各种语言）。 随着这一服务的公开预览，谷歌显然意在通过AI原生安全能力重新定义企业级防火墙。在AI与AI对抗的时代，拥有最强“代理人”的企业，或许才能在这场永无止境的猫鼠游戏中赢得先机。

在美国和欧洲执法机构对大型在线数据交易平台LeakBase进行全球执法打击数周后，俄罗斯执法部门逮捕了LeakBase的一名管理员。 俄罗斯内政部周三表示，俄罗斯内务部安全局官员与罗斯托夫州警方合作，逮捕了南部城市塔甘罗格的一名居民，该居民涉嫌创建并运营着一个规模庞大的国际黑客平台。在长达四年的时间里，该平台被用于交易被盗的个人信息数据库。在搜查被拘留者的住所时，查获了电脑设备和其他具有证据价值的物品。 俄罗斯内务部发言人伊琳娜·沃尔克表示：“根据现有信息，该平台托管了数亿条被盗用户记录、银行信息、登录名和密码，以及通过黑客攻击获取的公司文件。超过14.7万名在该论坛注册的用户能够买卖这些数据，甚至利用这些数据对公民实施诈骗。”她补充道：”俄罗斯内务部莫斯科总局侦查总局的一名侦查员已根据俄罗斯刑法第272.1条第3款和第6款立案调查。被告已被还押候审。“ 俄罗斯内务部发言人伊琳娜·沃尔克没有透露该平台的名称，但俄罗斯国家通讯社塔斯社援引执法部门消息人士的话称，该平台名为LeakBase。该通讯社的消息人士称，这名被拘留的塔甘罗格居民涉嫌运营“最大的国际黑客平台之一LeakBase”。 俄罗斯联邦司法部公布的视频显示，俄罗斯执法人员在嫌疑人汽车附近将其拘留，并在一个车库内对其进行讯问，车库内存放着据称与此次行动有关的电脑硬件。 目前尚不清楚俄罗斯当局是否与西方执法部门协调了此次逮捕行动。在莫斯科于2022年入侵乌克兰后，欧洲刑警组织暂停了与俄罗斯的合作。 LeakBase网络犯罪论坛已运行4年 LeakBase于2021年上线（但直到2023年3月才火起来），是一个基于订阅的网络犯罪数据库交易平台，已成为网络犯罪生态系统中的关键枢纽，专门交易泄露的数据库和包含被信息窃取恶意软件窃取的凭证的“窃取日志”。该论坛以英语公开运营，集市场和讨论功能于一体，允许网络犯罪分子买卖和交换包含被盗凭证、个人信息和其他敏感记录的数据库的权限，一些会员甚至花费数百美元购买了该平台的高级访问权限。 该论坛上发布的许多数据都是通过非法入侵政府系统和美国公司获得的。据欧洲刑警组织称，该论坛的一项内部规则禁止出售或发布与俄罗斯有关的数据。 LeakBase于本月初被查封 3月初，美国联邦调查局查封了网络犯罪论坛LeakBase，此次行动是“泄密行动”（Operation Leak）的一部分，这是一项由欧洲刑警组织协调的国际行动，来自14个国家的执法机构参与其中，全球执法机构开展了协同行动，包括逮捕、搜查住所。据美国当局称，联邦调查局与欧洲合作伙伴合作，在十几个国家对45名嫌疑人实施了100多项执法行动。 此次行动查封了该论坛使用的多个域名，并关闭了位于荷兰和马来西亚等国的托管基础​​设施。作为打击行动的一部分，当局将该网站的域名重定向到由美国联邦调查局控制的服务器。 欧洲刑警组织通过绘制论坛基础设施图、分析用户活动、跨国关联嫌疑人、受害者和证据，为此次行动提供了支持。位于海牙的欧洲刑警组织总部专家审查了缴获的数据，并生成了调查线索。此次行动在联合网络犯罪行动工作组的框架下进行，同时，联合指挥所负责协调全球行动期间的实时情报共享。 当局查获了LeakBase数据库，使得调查人员得以揭露多名自以为匿名的用户的真实身份。警方还通过犯罪分子常用的网络渠道联系了嫌疑人，明确警告他们网络匿名是有限的。调查人员仍在追踪数字证据，以识别其他犯罪分子。此次行动也凸显了数据泄露事件中被盗数据经常出现在网络犯罪论坛上，并助长诈骗、身份盗窃、账户盗用和网络钓鱼等犯罪活动，从而强调了强密码和多因素身份验证的重要性。 LeakBase管理员被俄罗斯警方锁定 威胁情报研究人员表示，一个使用Chucky、beakdaz、Chuckies和Sqlrip等网络化名的威胁行为者是LeakBase网站背后的管理员。在论坛被关闭后发布的报告中，KELA和TriTrace Investigations将Chucky与一名来自塔甘罗格的33岁男子联系起来。颇具讽刺意味的是，这位“世界最大规模之一”的泄露数据论坛管理员，似乎完全没有考虑过自身的匿名性。 研究人员表示，为了推广这个新论坛，其创建者Chucky亲手发布了已在其他网站上公开的泄露数据。其目的是推广该论坛，并将其打造成黑客的交易平台。自LeakBase成立以来，该论坛共发布了超过1.6万个数据库。 在LeakBase网站被国际执法行动查封几天后，LeakBase恢复了上线，域名为“leakbase[.]bz”，并由DDoS-Guard提供DDoS防护。而DDoS-Guard是一家俄罗斯的防弹（高防护）主机服务提供商，俄罗斯警方可以很容易通过DDoS-Guard或者其他支付方式锁定其管理员。 现在，访问LeakBase网站的用户会看到这样一条消息：“在俄罗斯内务部特别技术事件局的一次特别行动中，LeakBase 论坛已被永久关闭。在计算机信息领域从事非法活动，以及侵犯个人和公民的宪法权利和自由，均将根据俄罗斯法律承担刑事责任。” 情报人员的分析 情报研究人员表示，俄罗斯黑客的首要规则是：“别在俄罗斯境内搞事”。也就是说，别从俄罗斯人那里偷钱——这样俄罗斯联邦安全局（FSB）就不会找你麻烦。LeakBase也不例外。该论坛禁止出售与俄罗斯相关的数据库。 LeakBase的管理员兼创始人使用“Chucky”这个昵称——以此致敬同名恐怖电影系列中那只杀人玩偶。他从未隐瞒自己的国籍：在自己的论坛上，Chucky一直公开使用俄语交流。在LeakBase的联系方式栏中，Chucky留下了他的Telegram账号——@chuckybhf。该账号注册于来自塔甘罗格的33岁阿列克谢·库丘莫夫名下。 阿列克谢·库丘莫夫在网络上留下了大量的数字足迹，其中几乎每一条记录都指向他与Chucky的关联。例如，他的主要邮箱是[email protected]——也就是说，该邮箱既包含他的“黑客”化名，又注册在苹果公司名下。此前，阿列克谢·库丘莫夫曾使用[email protected]这一邮箱。在暗网网站 Doxbin 的用户信息泄露中，该邮箱与用户Beakdaz相关联。这是Chucky的旧昵称，十多年前他正是以此开启了暗网生涯。 库丘莫夫曾多次使用与这些昵称关联的邮箱购买SIM卡、支付主机费用，以及在其他需要提供护照信息的情况下。讽刺的是，Chucky从事泄露数据库的交易——他比任何人都更清楚，在俄罗斯数据泄露是家常便饭。 几年前，库丘莫夫在VK主页的“灵感”一栏中写下了“Darknet”。而通过其“黑客”账号@chuckybhf，库丘莫夫会阅读Telegram频道“塔甘罗格突发事件”的评论。此外，库丘莫夫还利用LeakBase上公开的Skype账号，通过该网站使用俄罗斯Plati卡购买电子游戏。 西方分析师的结论间接证实了阿列克谢·库丘莫夫就是Chucky。他们虽未透露Chucky的真实姓名，但指出了他与昵称Beakdaz的关联，以及可能位于塔甘罗格的所在地。 根据泄露信息显示，库丘莫夫从未出过国。如果他继续保持这种状态，那么这位前LeakBase管理员极有可能不会被捕。

”暗网下/AWX“早前报道，23个国家联手摧毁暗网诈骗网站群，幕后黑手来自中国。近日，奥地利透露了该案件的一些细节，奥地利维也纳一家初创区块链分析公司协助执法机构锁定了暗网诈骗网站群背后的来自中国的运营者。 据奥地利广播公司（ ORF Wissen ）报道，维也纳一家公司开发的软件在德国巴伐利亚执法部门开展的“爱丽丝行动”（Operation Alice）中发挥了关键作用，该行动成功捣毁了约37.3万个非法暗网网站。这家名为Iknaio的维也纳初创公司是复杂性科学中心（CSH）的衍生公司，它开发了GraphSense分析软件。据当局称，如果没有这款软件，此次调查不可能取得成功。 调查显示，一名36岁的中国男子，据称操控着一个由超过37万个暗网独立网站组成的诈骗网络。该男子涉嫌设计了一种极其巧妙的商业模式：他利用数千个数字克隆的暗网网站引诱潜在的非法商品买家。顾客付款后却什么也没收到。王帅波可能认为这没什么大不了的：如果有人因购买儿童色情制品而被骗，应该不会有人报警。 这项历时五年的调查始于一个名为“Alice with Violence CP”的暗网网站，该网站于2021年引起当局注意。调查人员利用Iknaio软件发现，多个平台都在使用同一个加密货币地址。最终锁定该网络的嫌疑运营者是36岁的中国公民Wang Shuaibo（王帅波），据信居住在河北省。目前已对其发出国际逮捕令。据称，他在过去五年中通过暗网网站赚取了价值约110万欧元的比特币。 然而，这位所谓的网络罪犯没有料到的是，他的诈骗网络可能会引起科学家们的关注——尤其是包括维也纳“复杂性科学中心”的伯恩哈德·哈斯霍弗（Bernhard Haslhofer）在内的科学家们。他们帮忙追踪并锁定了其真实身份。 尽管调查取得了历史性的成功，哈斯霍弗仍警告人们不要过度乐观。他认为，“爱丽丝”网络可能只是暗网上众多类似大型网站集团之一。哈斯霍弗告诉奥地利广播公司（ORF）新闻频道，这个被揭露的网络规模之大，甚至连他的研究团队都感到惊讶。 Iknaio是什么？GraphSense有什么功能？ Iknaio由维也纳复杂性科学中心 (Complexity Science Hub Vienna) 衍生而来，由复杂性研究员伯恩哈德·哈斯霍弗领导。该公司专注于加密货币交易分析。其软件GraphSense可以自动追踪来自各个加密货币地址的支付流，并将相关的网络连接可视化。 决定性优势在于处理海量数据。据奥地利广播公司（ORF Wissen）报道，如果由研究人员手动评估如此庞大的数据量，几乎是不可能的。GraphSense使即使是小型团队也能高效地处理如此庞大的数据量。 该软件究竟是如何帮助“爱丽丝行动”的？ “研究确实是这一过程的开端，”哈斯霍弗说道。四年来，一家荷兰研究机构——“巴伐利亚网络犯罪中央办公室”（隶属于班贝格检察院）、复杂性科学中心以及两家公司一直在开展合作。哈斯霍弗解释说，该团队正在深入研究暗网与加密货币之间的联系：“因为众所周知，暗网上充斥着大量非法内容。而且，加密货币如今已成为网络犯罪分子的主要支付手段。” 来自复杂性科学中心的加密货币研究员伯恩哈德·哈斯尔霍弗解释道：“四年前，我们偶然发现了一个名为‘Alice with Violence CP’的暗网平台，该平台发布虐待图片，并以比特币进行交易。然而，这是一个诈骗平台，人们实际上并没有收到任何东西。尽管如此，该平台确实展示了非法内容。” 这位专家报告说，有趣的是，该平台随着时间的推移在暗网上列出了数千个比特币地址，以便客户进行支付：“我们随后仔细研究了这些比特币地址和支付流向。”他们注意到，一些相同的比特币地址也被其他暗网平台使用。“就这样，我们不断地从一个平台转移到另一个平台——突然间，我们发现了一个平台网络。”哈斯霍弗生动地描述道，在这个拥有数千个网站的暗网“宇宙”中，一个个“星系”显现出来。认识到这些联系“无疑是这项研究的成果”。 哈斯霍弗向奥地利广播公司（ORF）的《知识报》（Wissen）生动地描述了这一过程： “这就像两家网店在网站上使用相同的账号一样。” GraphSense随后自动分析了所有交易连接，揭示了一个庞大的网络。共识别出122个不同的网站，每个网站都被克隆了数千次，而且所有这些都归因于同一个运营者。 跟随比特币的轨迹，匿名性荡然无存 哈斯霍弗团队开发了用于可视化高度复杂的加密交易网络的方法，加密支付之所以可以追踪，是因为它们在技术上基于所谓的区块链运行：区块链是一种代码，其中每笔交易都会被按顺序记录并存储。 这种调查方法背后的一个关键原则是，暗网上的匿名性最迟会在资金交易时终结。虽然加密货币通常可以匿名使用，但一旦虚拟资金兑换成真实货币，所有者的身份就很容易被确定。 分析的挑战在于如何构建海量数据，以便追踪加密货币的流向。这条流向通常会经过许多环节——毕竟，网络犯罪分子也希望洗钱，并尽可能地增加调查人员查明支付行为与犯罪背景之间的难度。加密货币分析的关键在于，要筛选出哪些支付行为是通过非私人账户（即所谓的“钱包”）进行的，这些账户实际上是在官方加密货币交易所开设的。在这些交易所，加密货币可以兑换成法定货币。而且，与银行类似，执法部门有权冻结这些账户，甚至逮捕钱包持有者。 哈斯霍弗认为，如今几乎所有形式的网络犯罪都离不开加密货币。因此，追踪这些支付活动是网络犯罪领域最重要的调查手段之一。 检察官办公室认为其贡献巨大 德国巴伐利亚网络犯罪中央办公室（ZCB）自2022年以来一直与复杂性科学中心（Complexity Science Hub）合作。从一开始，这种合作也是“爱丽丝行动”(Operation Alice) 的一部分。去年，该合作取得了另一项成功：据奥地利广播公司 (ORF Wissen)报道，他们捣毁了儿童虐待平台“Kidflix” 。 巴伐利亚州检察长办公室明确强调了维也纳软件的关键作用。负责此案的高级检察官斯特凡·沙尔（Stephan Schäl）在接受奥地利广播公司（ORF）新闻频道采访时表示： “如果没有Iknaio，我们根本不可能进行这项调查。该软件能够实现一种全新的调查方法：“它不再是从单个点的角度思考问题，而是试图理解网络。”

欧洲刑警组织（Europol）20日宣布，摧毁了一个暗网诈骗网站群，关闭了超过37.3万个与大型网络犯罪网络相关的暗网网站，锁定440名网站用户，这是迄今为止规模最大的国际协同打击行动之一。这些暗网网站提供网络犯罪即服务（CaaS）和非法内容，包括儿童性虐待材料（CSAM），并以提供儿童虐待影像的名义进行诈骗。 此次行动由欧洲刑警组织支持，德国当局牵头，目标是围绕名为“暴力爱丽丝儿童色情制品”（Alice with Violence CP）的暗网平台建立的欺诈网络。该案件始于2021年的一项例行调查，但调查人员很快发现其背后存在一个更大的网络。 此次代号为“爱丽丝行动”（Operation Alice）的跨国执法行动于2026年3月9日至19日进行，由来自23个国家的机构参与。欧洲刑警组织指出，主要犯罪嫌疑人为一名居住在中华人民共和国的35岁男子，他总计架设经营多达37.3万个暗网诈骗网站并进行诈骗。 除了查封域名外，调查人员还控制了100多台服务器和各种电子设备，破坏了该网络背后的大部分基础设施。 该中国男子利用网站数量庞大的优势，建立了数十万个小型、短命的网站。这增加了追踪难度，并给人一种规模更大的错觉。从2019年11月到近期，他运营着一个最多时拥有287台服务器的网络，其中105台位于德国。 该暗网平台名为“暴力爱丽丝CP”（Alice with Violence CP），对外宣称贩售儿童虐待影像，以及其他网络犯罪“服务”，如提供信用卡资料和电脑后台系统存取权限等，骗取买家付钱购买这些“服务”，但是实际上，用户付款后一无所获。 欧洲刑警组织估计，犯罪嫌疑人通过向约1万名客户提供价格在17欧元至215欧元之间的虚假服务“套餐”，骗得大约价值34.5万欧元的加密货币。 警方目前已确认了约440名曾使用该平台的人员，针对另外100多名涉案人员的调查仍在进行中。尽管这些服务属于欺诈行为，但在许多司法管辖区，试图购买非法物品仍然是刑事犯罪。欧洲刑警组织称：”即使从未收到过儿童性虐待材料，付费购买这些材料的顾客本身也成为了嫌疑人。“调查人员评估认为，那些寻求获取独家（因而也是极其严重的）儿童性虐待材料的人可能构成高价值目标，并为全球执法部门提供重要情报。 欧洲刑警组织执行主任凯瑟琳·德·博勒（Catherine de Bolle）在声明中说，“爱丽丝行动”传递了一个明确的信息：当国际执法机构通力合作时，犯罪分子无处可藏，“我们将找到他们，并将他们绳之以法”。欧洲刑警组织将继续保护儿童，支持受害者，并将犯罪分子绳之以法。 在调查过程中，欧洲刑警组织专家促进了各国执法部门之间的信息交流，提供了分析支持，并协调了国际应对措施。此外，他们在追踪加密货币支付和向参与行动的国家提供情报方面也发挥了关键作用。 欧洲刑警组织发布的新闻稿表示，已对居住在中国的主要犯罪嫌疑人发出了国际逮捕令，该嫌疑人是一名35岁的中国男子。警方正在继续追踪涉案人员以及与该行动相关的其他剩余基础设施。 暗网诈骗网站“暴力爱丽丝CP” 经过近五年的调查，德国当局发现，一名个人在暗网上运营着超过37.3万个洋葱域名（网站）。洋葱域名（.onion后缀）是一种特殊的网站地址，旨在隐藏网站及其访问者的身份和位置。从2020年2月到2025年7月，该嫌疑人通过超过9万个洋葱域名在不同的平台上发布儿童性虐待材料（CSAM）广告。在这些平台上，犯罪分子提供所谓的“套餐”式CSAM，用户只需提供电子邮件地址并用比特币支付即可购买。 每个套餐的预估价格在17欧元到215欧元之间，承诺提供从几GB到几TB不等的CSAM数据量。然而，这些都是彻头彻尾的诈骗网站，它们宣传并预览 CSAM，但从未交付任何内容。 除了CSAM之外，他们还推广了多种网络犯罪即服务（CaaS）产品，包括信用卡数据和访问境外系统。他们的目标始终是诱使客户付费，却不提供任何服务作为回报。 这名中国犯罪嫌疑人可能违反以下中国法律 1、诈骗罪（《刑法》第266条） 违反情形：新闻稿明确指出，这些网站“宣传并预览CSAM，但从未交付任何内容”，属于典型的“诱使客户付费，却不提供任何服务”的诈骗行为。嫌疑人从约1万名试图购买的客户处获利超过34.5万欧元（折合人民币约数百万元，远超“数额巨大”标准）。 量刑参考： 数额较大（一般5000元以上，电信网络诈骗3000元以上）：3年以下有期徒刑、拘役或管制，并处/单处罚金。 数额巨大（5万元以上）或有其他严重情节：3-10年有期徒刑，并处罚金。 数额特别巨大（50万元以上）或特别严重情节：10年以上有期徒刑或无期徒刑，并处罚金/没收财产。 适用性：该行为通过暗网、比特币支付等隐蔽手段实施，属于网络诈骗，可能从重处罚。两年内多次实施的，诈骗数额可累计计算。 2、制作、复制、出版、贩卖、传播淫秽物品牟利罪（《刑法》第363条） 违反情形：以牟利为目的（收取费用推广“套餐”），在暗网平台上发布、广告CSAM（儿童性虐待材料属于具体描绘未成年人性行为的淫秽电子信息）。新闻稿提到从2020年2月至2025年7月，通过超过9万个洋葱域名发布此类广告，并运营超过37.3万个欺诈网站。 特别规定：涉及不满14周岁或不满18周岁未成年人的淫秽电子信息，入罪门槛更低（例如视频10个以上、图片100件以上、点击数5000次以上、违法所得5000元以上等即可入罪），且从重处罚。情节特别严重的（数量或获利达到标准5倍/25倍以上），可判10年以上有期徒刑或无期徒刑，并处罚金/没收财产。 适用性：即使未实际交付内容，发布广告、预览和推广行为仍构成“贩卖、传播”淫秽物品（电子信息）。司法解释明确对涉及未成年人的从严从重。 3、传播淫秽物品罪（《刑法》第364条）（可能作为补充或选择性适用） 违反情形：不以牟利为主要目的的传播行为，若情节严重（数量或点击数达到一定标准），也可构成此罪。向不满18周岁未成年人传播的，从重处罚。 量刑：一般2年以下有期徒刑、拘役或管制。 适用性：若法院认定其主要目的非牟利，或作为从轻情节，可适用此条，但结合牟利事实，更可能定第363条。 4、其他可能涉及的法律或从重情节 提供侵入、非法控制计算机信息系统程序、工具罪（《刑法》第285条第3款）：若其推广的CaaS包括黑客工具、入侵程序等，可能构成此罪（情节严重的，3年以下有期徒刑或拘役；特别严重的，3-7年）。 未成年人保护法（第52条）：禁止制作、复制、发布、传播或持有有关未成年人的淫秽色情物品和网络信息。该法虽无直接刑罚，但可作为从重情节或行政处罚依据，与刑法结合适用。 治安管理处罚法（第68条等）：若未达刑事立案标准，可能先处行政拘留并罚款（涉及未成年人的从重）。 国际逮捕令背景：德国等国行动针对其运营的暗网平台，中国若引渡或自行侦查，会依据上述国内法处理。 ”爱丽丝行动“的成果 截至目前，“爱丽丝行动”已取得以下成果： 已确认1名运营暗网平台的犯罪分子； 已确定全球共有 440 位客户； 超过37.3万个暗网网站被关闭； 查获105台服务器； 查获的电子设备包括电脑、手机和电子数据载体。 参与“爱丽丝行动”的国家 澳大利亚：澳大利亚联邦警察（AFP） 奥地利：刑事情报局 (Bundeskcriminalamt) 比利时：联邦司法警察 – Federale Gerechtelijke Politie 加拿大：加拿大皇家骑警（RCMP）- 国家儿童剥削犯罪中心（NCECC） 克罗地亚：国家网络犯罪部门 (Služba kibernetičke sigurnosti)

阿斯顿大学正在推出一项新的网络安全资源——据称是英国首个此类资源——旨在帮助保护年轻女性和女孩免受暗网上的暴力和虐待。 新的工具包为家长和监护人提供了有关虐待预警信号的实用技巧，以及表情符号定义指南，可用于识别社交媒体上使用的图形背后的隐藏含义。 Cyber​​DIVA（暗网暴力和虐待调查）项目于2月25日在阿斯顿大学与西米德兰兹郡警方联合举办的活动中正式启动。 该项目由英国创新署（Innovate UK）资助，由阿斯顿大学的阿妮塔·钦纳斯瓦米博士（Dr. Anitha Chinnaswamy）领导，并与法医路径公司（Forensic Pathways）合作开展。此外，科学、创新与技术部（DSIT）和西米德兰兹郡警察局（包括区域网络犯罪部门）也为该项目提供支持。 该网站旨在加强对技术辅助性滥用行为的预防、治理和应对。该工具包基于跨学科研究和广泛咨询而开发，并根据来自学校、第三部门组织和企业合作伙伴（包括英国电信）的结构化反馈进行了完善，以确保其反映实际操作需求，而非纯粹的学术理论。 Chinnaswamy博士表示，该项目是在性别暴力和虐待在数字生态系统中不断演变的背景下推出的，这些数字生态系统包括可见的社交平台和隐藏或加密的在线环境。 我们邀请贡献者对该框架进行评估，找出差距，并提出改进建议，最终形成了一个既以证据为导向又以实践者为依据的资源。 她补充说，虽然公众对主流数字空间中的网络虐待给予了高度关注，但通过加密渠道、匿名网络和暗网环境造成的危害却相对缺乏研究。这造成了操作、调查和政策方面的空白，限制了有效的保护措施和协调应对。 除了工具包之外，还发布了一份新的以政策为重点的简报文件，旨在为有关数字治理和系统问责制的国家对话提供信息。 该项目还将于今年晚些时候在英国上议院召开专门的圆桌会议，召集高级利益相关者，加强政府、警察、行业和民间社会之间的合作。 Chinnaswamy博士说：“我非常自豪和荣幸能够领导Cyber​​DIVA，因为在日益复杂的数字世界中保护年轻人不仅迫在眉睫，而且不容谈判。 “像Cyber​​DIVA这样的倡议具有国家战略意义，而且日益具有全球意义，因为我们所应对的危害不分国界，而技术变革的步伐要求我们采取集体协调的应对措施。确保年轻人能够安全、合乎道德地利用技术并从中受益，是我们的共同责任，这样数字进步才能继续发挥向善的作用。” 用户可以通过以下链接访问 Cyber​​DIVA 网站： https://main.d3q1myeyadoup6.amplifyapp.com/ 关于阿斯顿大学 130多年来，阿斯顿大学一直致力于通过教育、研究和创新让世界变得更美好。我们的历史与卓越的伯明翰市紧密相连，伯明翰曾是工业革命的中心，如今已成为具有全球意义的创新生态系统的繁荣基地，而阿斯顿大学正是这一生态系统的共同缔造者。 我们的愿景是成为科学、技术和企业领域的领先大学，以我们为员工、学生、企业和我们所服务的社区带来的积极变革性影响来衡量。 阿斯顿大学专注于高质量、可利用的研究，这些研究通过医学突破、工程进步、政府政策和实践以及企业的战略和绩效对社会产生影响。 该大学提供一系列本科和研究生学位课程，以及持续的专业发展解决方案。 由于致力于为学生提供卓越的教育成果，阿斯顿大学的声誉不断提升。它被《每日邮报》评为2025年度学生成功大学，在社会流动性方面位列英格兰第二（2023年高等教育政策研究所社会流动性指数），并在毕业生薪资方面跻身前20名（2024年纵向教育成果）。 阿斯顿大学正在快速变化的世界中，努力在第四次工业革命（及以后）中确立自身的地位。

中国国家安全部19日发布文章揭露，“暗网”（Dark Web）正被境外间谍情报机关及不法分子利用，成为滋生违法犯罪、侵害民众权益的重灾区。”暗网下/AWX“与大家一起来学习全文。 国家安全部称，暗网是指互联网中经过特殊加密处理的隐藏网络，普通浏览器和搜索引擎无法直接访问，需借助特定软件或特殊配置才能进入，其网址通常以“.onion”结尾。暗网依托加密技术、匿名路由掩盖使用者身份、位置和行为，看似给人“隐身”的保护，实则成为不法分子逃避监管、实施犯罪的“遮羞布”，它脱离正常网络监管，没有合法的内容审核与秩序约束，从诞生之初就成为各类违法犯罪活动滋生的土壤。 国家安全部表示，暗网充斥着各类违法犯罪活动：暗网是公民个人信息非法交易的核心渠道，身份证号、手机号、家庭住址等隐私数据，被不法分子通过黑客攻击等手段窃取后，批量在暗网低价倒卖，直接侵害公民隐私和财产安全；暗网中遍布着暴力血腥、网络赌博、反动蛊惑等违法有害信息。境外间谍情报机关利用暗网隐匿特性，通过歪曲事实、煽动对立、制造恐慌等方式，误导群众认知、扰乱公共秩序，危害国家安全；暗网非法交易毒品、管制器具、窃听窃照器材等违禁品，这些违法交易看似远离普通人生活，实则破坏社会管理秩序，让民众身处潜在危险之中。 对于暗网，中国国家安全部提出个人防护“四不”原则：不访问，不自曝，不交易，不轻信。 国家安全部的原文如下： 网络空间是亿万网民共同的精神家园，清朗安全的网络环境，直接关系每一位群众的切身利益。在我们日常使用的互联网之外，潜藏着一个不为普通人熟知的暗网，这个被称为“网络黑洞”的神秘地带，正被境外间谍情报机关及不法分子利用，成为滋生违法犯罪、侵害群众权益的重灾区。今天，让我们一起撕开暗网的“隐身衣”，认清危害，筑牢防线。 撕开暗网的“隐身衣” 可能有网民对暗网存在误解，将其等同于“深层网络”，甚至误以为是可以随意猎奇、隐藏身份的自由空间。事实上，暗网（Dark Web）是指互联网中经过特殊加密处理的隐藏网络，普通浏览器和搜索引擎无法直接访问，需借助特定软件或特殊配置才能进入，其网址通常以“.onion”结尾。暗网依托加密技术、匿名路由掩盖使用者身份、位置和行为，看似给人“隐身”的保护，实则成为不法分子逃避监管、实施犯罪的“遮羞布”，它脱离正常网络监管，没有合法的内容审核与秩序约束，从诞生之初就成为各类违法犯罪活动滋生的土壤，将危害直接转嫁到普通百姓身上，成为威胁人民群众安全感、幸福感，侵害个人利益和公众利益的重大隐患。 ——个人信息的“贩卖集市”：暗网是公民个人信息非法交易的核心渠道，身份证号、手机号、家庭住址等隐私数据，被不法分子通过黑客攻击等手段窃取后，批量在暗网低价倒卖，直接侵害公民隐私和财产安全。 ——不良信息的“传播温床”：暗网中充斥着暴力血腥、网络赌博、反动蛊惑等违法有害信息。境外间谍情报机关利用暗网隐匿特性，通过歪曲事实、煽动对立、制造恐慌等方式，误导群众认知、扰乱公共秩序，危害国家安全。 ——违禁物品的“地下通道”：暗网非法交易毒品、管制器具、窃听窃照器材等违禁品，这些违法交易看似远离普通人生活，实则破坏社会管理秩序，让人民群众身处潜在危险之中。 法律红线不可触碰 可能有人误以为暗网“匿名无痕”，可以逃避法律制裁，这是极其危险的认知。接入暗网通常依赖非法跨境信道、违规工具，此行为本身已违法，在暗网从事不法活动，更涉嫌犯罪。我国始终坚持国家安全一切为了人民，严厉打击各类网络违法犯罪，暗网绝非法外之地，触碰法律红线必将付出沉重代价。 根据《中华人民共和国刑法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规，利用暗网实施侵犯公民个人信息、非法交易违禁品、传播违法信息、网络诈骗、网络攻击等行为，均构成违法犯罪。即便借助加密技术手段躲避追踪，有关部门依然能够溯源追踪，法网恢恢疏而不漏，不法分子最终难逃法律严惩。 个人防护“四不”原则 抵制暗网、远离暗网，不仅是法律要求，更是守护自己、守护家人、守护社会平安的必要行动，让我们携手抵制网络黑暗角落，共建安全、文明、有序的网络空间。 ——不访问。不猎奇、不下载、不使用任何非法翻墙、匿名接入、暗网访问工具；不点击不明境外链接、不加入可疑私密群组。 ——不自曝。不在社交平台上过度泄露详细个人信息，特别是身份证号、银行卡号、工作单位、岗位等敏感信息。 ——不交易。不参与任何数据买卖，不购买来源不明的数据查询服务。 ——不轻信。通过正规渠道获取信息，不信谣不传谣，自觉维护网络清朗与国家安全。 广大人民群众如发现涉及暗网违法犯罪和网络攻击等危害国家安全行为的线索，可通过12339国家安全机关举报受理电话、网络举报受理平台（www.12339.gov.cn）、国家安全部微信公众号举报受理渠道或者直接向当地国家安全机关进行举报。

本月初，“暗网下/AWX”曾报道，两个版本BreachForums论坛的多个明网域名遭执法机构查封。本月中旬，由Indra运营的暗网数据泄露论坛BreachForums遭遇了长期停机，明网网站无法正常访问，暗网网站提示“Onion site not found”。前端仍正常运行，但后端已无响应，基本可以确定其背后的基础设施出现了问题，而非黑客攻击或计划内维护。 虽然BreachForums管理层表示这只是例行维护，但据威胁情报专家猜测，可能有两项协同行动针对该论坛：一是由LAPSUS$与HasanBroker共同宣布的“Operation Lebensraum”联盟，明确以“抹除Indra及其BreachForums论坛”为目标；二是“网络反情报威胁调查联盟”（CCITIC），一家调查网络威胁以协助当局的非营利组织，该组织声称是他们攻击了Indra的BreachForums。 经“暗网下/AWX”长期坚持跟进与持续跟踪报道，可以看到BreachForums数据泄露论坛有着混乱的黑暗历史：多次遭FBI查封（2023–2025年）、大规模数据泄露（2026年1月有32.4万用户信息曝光）、疑似蜜罐的重新启动、多次域名被查封后重新启用新域名……自2022年以来，BreachForums历经多次FBI查封仍存活至今，每次被关停后都会更换顶级域名（.st ➡️ .cx ➡️ .is ➡️ .vc ➡️ .hn ➡️ .as…）。 这次不管是谁的努力，瘫痪了Indra的BreachForums论坛，则为其竞争对手HasanBroker版本的BreachForums论坛铺平了道路，该版本自诩为合法继承者，且正获得越来越多的支持。 “暗网下/AWX”继续追踪分析后基本确认，Indra版本BreachForums的关闭，既非黑客攻击，也非例行维护——而是被强制下线。网络反情报威胁调查联盟（CCITIC）成功关闭了Indra的BreachForums论坛，Indra被迫发布一则告别公告，但该公告目前已经不可见。 Indra的BreachForums论坛在CCITIC的持续努力与施压下关闭 根据CCITIC官网的介绍： 网络反情报威胁调查联盟（Cyber Counter-Intelligence Threat Investigation Consortium）是当今互联互通的数字环境中，抵御不断演变的网络威胁的一座协作堡垒。 本组织汇聚了网络安全专家、研究人员和分析师，共同构建统一的防御网络。依托自主研发的平台和集体智慧，我们在威胁危及关键基础设施之前，便能对其进行识别、分析并予以消除。 CCITIC宣告， BreachForums.as已下线——CCITIC成功将其击溃。其在领英上发文称，该域名breachforums[.]as是这个臭名昭著的网络犯罪论坛在明网上的最新版本，目前无法访问。这不是系统故障，而是被强制下线。 CCITIC表示，他们已成功定位到BreachForums背后的上游服务器，这些服务器均托管于DigitalOcean（ASN 14061）位于法兰克福数据中心的机房。随后，该组织提交了多份滥用报告（由于DigitalOcean要求每个 IP 地址提交一份报告，因此不得不提交了三份完全相同的报告），美国云服务提供商DigitalOcean终止了对这些服务器的服务。 🖥️ 已确认的服务器IP： 🔹 164.90.223.186 — 与 breachforums.as 域名直接关联 🔹 138.68.73.155 🔹 68.183.223.214 CCITIC于2026年3月6日扫描时，确定这些服务器拥有相同的技术指纹：WSGIServer/0.2、CPython/3.12.12、端口 3093、TLS 1.3。 2026年3月12日，CCITIC向DigitalOcean安全运营中心提交了滥用报告后，该托管服务商审查了CCITIC的报告，并对与BreachForums基础设施（breachforums[.]as）相关的账户采取了行动。 Indra发表告别信后选择转移资金退出 随后，访问Indra的BreachForums论坛，跳转至：https://breachforums[.]as/info/download.php，并显示一封告别公告： 亲爱的世界， 是时候向大家告别了——尽管并非彻底的告别。 BreachForums 早已不仅仅是一个平台；它是一个社区，在许多方面，更是一项你们每个人都理解并为此贡献力量的共同使命。 在过去的几个月里，我竭尽所能帮助这个社区重振旗鼓并日益壮大，我坚信这里所建立的一切将会继续存在并不断发展。 然而，此刻我必须退居二线。我个人生活中一些重要且迫切的事务需要我投入精力，其中包括一项新事业的启动。尽管如此，只要条件允许，我仍会尽我所能继续支持 BreachForums。 因此，我们现正寻找一位负责任的个人或团队，接手论坛的领导工作并提供持续支持。 现任版主团队将保持不变，并继续履行其一贯职责：Loki、Tanaka、888 和 Pine。 我们期待就论坛的未来展开严肃而认真的讨论。 如有兴趣，请通过以下渠道联系管理团队： Session: 054d67e476285098efb2bbe770d205588b6639c5af9157edf138b630cd53109723 TOX：D1E8EB300080486048B366464BD5D57C86D6FA8234E784714541BAEAFB64FC6A7CCD72D7F819 — BreachForums 管理团队

Russian Market是当今地下网络犯罪生态中最具持久性和影响力的平台之一，主要从事被盗凭证、信用卡数据（CVV）以及信息窃取恶意软件（infostealer）日志的交易。该平台自2019年左右开始运营，据称有俄罗斯政府背景，尽管名称中带有“Russian”，但该网站使用英语界面，面向全球用户。截至2026年3月，根据多家网络安全机构的监测报告（如Breachsense、CloudSek、SOCRadar、Rapid7等），Russian Market仍是stolencredentials和stealerlogs的主导市场之一，库存规模庞大，在售窃取日志超过1060万条，信用卡数据超过850万张。 与“暗网下/AWX”多次报道的其他曾被执法部门重创的平台（如Genesis Market于2023年被查封、导致Russian Market交易量激增670%；被查封的RaidForums/BreachForums、XSS等）相比，Russian Market表现出极强的韧性，未遭受平台级取缔，持续活跃。 平台运作模式与商品演变 Russian Market采用“自动商店”（autoshops）模式，类似于正规电商网站：商品分类清晰、可搜索、支持即时购买，买卖双方无需直接接触。这种低摩擦设计大幅降低了网络犯罪的准入门槛。 Russian Market平台的产品线经历了清晰的演变： 2019–2024年初：初期专注于远程桌面协议（RDP）访问权限销售。此类权限常被用于部署勒索软件、进行网络间谍活动，或作为进一步攻击的跳板。RDP访问已高度商品化，直至2024年1月该服务正式终止，不再提供。 2021年起：信用卡数据（CVV）业务迅速崛起，成为当时的主要品类之一，凭借扩张策略和较低的执法压力，一度领先同类平台。 2021年末至今：转向以信息窃取日志（stealerlogs，或称“僵尸程序”/bots）为主导。这些日志是由infostealer恶意软件从受害者设备中提取的数据包，通常包含： 保存的用户名、密码 浏览器会话cookie（可直接用于账户接管，绕过多因素认证） 自动填充数据、系统信息、加密钱包凭证等 2025年上半年，平台每月平均出售约3万个此类日志，上半年累计超过18万条公开出售。当前在售日志数量已达约1060万条，远超竞争对手（如2Easy仅为其约14%；Genesis Market关闭时仅有约42.5万个）。 主要商品详情与统计 信息窃取日志：平台最核心商品。买家可按地理位置、国家、操作系统、所用窃取工具类型、供应商、特定域名或邮箱等条件筛选。每个日志平均售价约10美元（历史价格范围1–100美元，取决于地理位置、数据质量、凭证有效性等）。日志大小通常为0.05–0.3MB，平均0.14MB，常包含多个域名的凭证。 主流窃取工具变种：Lumma Stealer曾占据主导地位（一度约66%，2024年Q4甚至达92%），但受2025年5月全球域名查封影响份额下降；Rhadamanthys（约5%）、Acreed等新兴变种崛起。早期流行的RedLine、Raccoon等因开发者被捕（RedLine2024年、Raccoon2022年相关行动），份额降至不足1%。 地理分布：美国受害者占比最高（约26%），其次阿根廷（23%）、巴西等。 部分数据存在质量问题，如重复、非唯一凭证，或虚假条目（[email protected]等），但整体供应量巨大。 信用卡数据：销量第二大品类，在售约850万张。前20发卡国中，美国银行卡占比高达84%（约716.7万张）。 辅助工具：平台集成BIN验证器（根据卡号前6–8位查询卡片信息，用于筛选高价值目标）；Netscape到JSONCookie转换器（将窃取的cookie转为现代浏览器兼容格式，便于实现会话劫持）。 卖家体系与生态特征 卖家采用积分评级体系，基于销量、买家反馈等计算分数。“钻石”级需超过10,000分，最高卖家分数可达20万以上。截至分析时，“窃取日志”板块仅列出约39家供应商，“信用卡”板块约557家，但许多供应商无实际商品上架。 参与者圈子相对封闭，每年仅新增一两个主要玩家。窃取工具变种也多出自同一小群体。尽管执法行动频繁，核心运营者和活跃卖家持续存在。 执法行动及其影响 自2022年以来，国际执法针对infostealer生态的打击显著加强： 2024年12月：Raccoon Stealer MaaS运营者Mark Sokolovsky被判5年监禁，导致该变种日志份额骤降。 2025年5月：微软、美国司法部、欧洲刑警组织等联合查封Lumma Stealer约2300个域名，基础设施遭受重创。 2025年11月：Operation Endgame行动关闭Rhadamanthys在226个国家/地区的超过1025台服务器，但运营者未公开被捕。 尽管如此，Russian Market平台本身未被整体取缔。竞争对手崩盘后用户迁移、平台的低调运营和快速适应能力，使其在2026年仍被多家报告视为stolencredentials和stealerlogs的主要枢纽。 风险与防御建议 Russian Market已成为凭证滥用攻击链的核心节点：企业员工设备感染infostealer→数据打包出售→买家购买用于初始访问、横向移动、勒索软件部署或账户接管。许多重大数据泄露事件最终可追溯至此类平台购买的凭证。 Russian Market的持续存在凸显了地下凭证经济的规模与韧性。其海量、低价供应降低了攻击门槛，对全球网络安全构成持久威胁。及时监控和强化身份防护，是有效降低风险的关键。 对于企业和个人，“暗网下/AWX”建议采取进一步防御措施加强防范，包括： 启用多因素身份验证（MFA），优先采用基于App或硬件密钥的方式（减少cookie劫持风险）。 使用唯一强密码，并借助密码管理器管理。 加强终端防护，部署端点检测与响应（EDR）工具，监控异常行为。 定期监测暗网暴露情报，检查组织域名、邮箱是否出现在此类平台。 开展员工安全意识培训，防范钓鱼邮件、恶意下载等感染途径。

明尼苏达州联邦检察官办公室称，一名密歇根州男子因电信诈骗和严重身份盗窃罪被判处五年监禁，外加两年监管释放，并附加特殊条件。 美国检察官丹尼尔·N·罗森表示，现年30岁、居住在密歇根州的安德鲁·申科斯基（Andrew Shenkosky）被控从一个已被联邦调查局关闭的暗网市场购买了近2500条被盗的登录凭证。他被控利用这些信息进行欺诈性金融交易，并将部分被盗凭证在其他网络犯罪网站上出售。 从暗网市场购买被盗登录凭证 法庭文件显示，2020年2月至11月期间，申科斯基在明尼苏达州居住期间，策划并实施了一项诈骗计划，通过虚假借口骗取钱财。 他从暗网交易市场Genesis Market购买和访问被盗账户信息来实现他的计划。 法庭文件显示，暗网市场Genesis Market收集了数十万条被盗的登录凭证，其中包括来自全球各地感染恶意软件的计算机的登录凭证，包括手机号码、账号、电子邮件地址、用户名和密码，这些被盗信息随后在暗网上出售。2023年4月，美国联邦调查局捣毁了Genesis Market。 联邦检察官称，申科斯基以其中一名受害者的名义，利用受害者的驾驶执照，欺诈性地创建了一个加密货币Coinbase账户，并在Genesis Market上购买了一个账户。 申科斯基使用伪造的Coinbase账户在Genesis Market上购买了2468条来自不同受害者的被盗凭证。随后，申科斯基利用这些被盗数据，在未经受害者知情或授权的情况下，从其中一名受害者的银行账户中非法取款，并将资金转移到他控制的PayPal账户中。 他还试图从其他受害者的账户中提取资金，但这些转账都被撤销了。申科斯基还曾在一个名为“Raid Forums”的现已关闭的网络犯罪论坛上，试图出售一名受害者被盗的账户数据和个人信息。 审判的重大意义 联邦检察官称，申科斯基因犯有电信诈骗和严重身份盗窃罪，被判处五年监禁，外加两年监管释放。 在宣判时，法官琼·N·埃里克森强调了金融欺诈的更广泛影响，并指出它对受害者安全感的影响。 “暗网市场是一个无国界的犯罪活动中心，让像申科斯基这样的犯罪分子能够从毫无戒心的受害者手中窃取钱财，并洗白其非法所得，”联邦调查局明尼阿波利斯分局负责人克里斯·多特森表示。“毫无疑问，这一重大判决体现了联邦调查局及其执法伙伴打击犯罪网络的决心，并发出一个清晰明确的信息：我们将继续改进追踪非法资金流向的方式，运用一切可用工具和技术，并依靠我们在国内外的强大合作伙伴关系。” 联邦调查局网络犯罪部门联合明尼阿波利斯和底特律外勤办事处开展了此次调查。助理联邦检察官本杰明·贝哈尔负责此案的起诉工作。