Resecurity最新研究发现,未经审查的暗网人工智能助手正在兴起,使威胁行为者能够利用其先进的数据处理能力进行恶意活动。其中一款名为DIG AI的工具于今年9月29日被发现,并已在网络犯罪分子和有组织犯罪圈子中迅速传播,获得网络犯罪分子的青睐——安全研究人员警告说,这可能会显著加速2026年的非法活动。
该工具名为DIG AI,它允许威胁行为者以极低的技术水平生成恶意软件、诈骗和非法内容,凸显了人工智能是如何被武器化并突破传统安全措施的。2025年第四季度,Resecurity的HUNTER团队观察到,恶意行为者使用DIG AI的数量显著增加,并在冬季假期期间加速增长,当时全球非法活动创下新纪录。
Resecurity的研究人员表示,随着2026年米兰冬奥会和FIFA世界杯等重要赛事的举办,人工智能“将带来新的威胁和安全挑战,使不法分子能够扩大其行动规模并绕过内容保护策略”。
服务犯罪的人工智能的崛起 DIG AI代表了一类新型的“不良”(“犯罪”或“未经审查”)人工智能工具,专门用于绕过ChatGPT、Claude和Gemini等主流平台中嵌入的内容审核和安全控制。其合法性和伦理性取决于工具本身、使用方式和使用者,以及可能对社会造成危害的技术的开发者。
它的迅速普及凸显了现代人工智能可以多么迅速地被重新利用,以扩大网络犯罪、欺诈和极端主义活动的规模——通常比防御者适应的速度还要快。
网络犯罪论坛上提及和使用恶意人工智能工具的次数显著增加(2024-2025年增幅超过200%),表明这些技术正在迅速普及和发展。“暗网下/AWX”多次报道,FraudGPT和WormGPT是目前最知名的专门面向网络犯罪分子的AI工具,但随着新的越狱和定制版LLM工具不断涌现,网络犯罪领域正在快速演变。这些工具通过自动化和增强恶意活动,降低了网络犯罪的门槛。
这些工具通常被称为“暗黑 LLM”(大型语言模型)或“越狱”AI 聊天机器人,它们要么是从零开始构建的,要么是合法 AI 模型的修改版本,移除了其安全限制。
DIG AI使恶意行为者能够利用人工智能生成各种线索,从制造爆炸装置到制作包括儿童性虐待材料在内的非法内容,无所不能。由于DIG AI托管在TOR网络上,执法部门难以发现和访问此类工具。它们催生了一个庞大的地下市场——涵盖盗版、衍生品以及其他非法活动。
尽管如此,也有一些重要的倡议,例如国际电信联盟(ITU)和联合国数字技术机构于2017年共同发起的“人工智能向善”(AI for Good)项目,旨在促进新技术的负责任使用。然而,不法分子则会把重点放在完全相反的事情上——将人工智能武器化和滥用。
一款专为犯罪而打造的暗网人工智能DIG AI 与合法的AI平台不同,DIG AI不需要用户注册,只需点击几下即可通过Tor浏览器访问。DIG AI的暗网V3地址为:
https://digdig2nugjpszzmqe5ep2bk7lqfpdlyrkojsx2j6kzalnrqtwedr3id[.]onion
研究人员证实,DIG AI可以生成功能性恶意脚本,能够为易受攻击的Web应用程序以及其他类型的恶意软件中植入后门,并自动执行诈骗活动。
根据Resecurity的测试,除了网络犯罪之外,该工具可以生成涵盖各种非法领域的各种内容,包括欺诈计划、恶意软件开发、毒品制造说明和极端主义宣传。Resecurity的分析师利用与爆炸物、毒品、违禁物质、欺诈和其他受国际法律限制的领域相关的分类词典,对DIG AI进行了多次测试。
当与外部API结合使用时,该平台能够让不法分子高效地扩展其行动规模——在降低成本的同时提高产量。
虽然由于计算资源有限,一些资源密集型任务(例如代码混淆)可能需要几分钟才能完成,但分析人士指出,攻击者可以通过付费高级服务层级轻松解决这些限制。这开启了“不良人工智能”的新领域——恶意行为者设计、运营和维护定制的基础设施,甚至是类似于用于防弹托管的数据中心,但其目的是为了让犯罪人工智能能够有效地扩展其运行规模,同时考虑负载、并发请求以及多个用户同时使用的情况。
DIG AI背后的运营者,化名“Pitch”,在暗网论坛Dread上发帖推广该服务,声称该服务基于ChatGPT Turbo构建,并移除了所有安全限制。
在暗网里,该工具的广告横幅出现在与毒品贩运和被盗支付数据相关的地下市场主页上,凸显了它对有组织犯罪网络的吸引力。
犯罪人工智能如何助长儿童性虐待 其中最令人担忧的发现之一是DIG AI在促进AI生成的儿童性虐待材料(CSAM)方面可能发挥的作用。
生成式人工智能技术——例如扩散模型、生成对抗网络(GAN)和文本转图像系统——正被积极滥用,能够生成高度逼真、露骨的儿童图像或视频——既可以通过生成完全合成的内容,也可以通过篡改真实未成年人的正常图像来实现。这将给立法者在打击 CSAM 内容的制作和传播方面带来新的挑战。
Resecurity证实,DIG AI可以协助生成或操纵涉及未成年人的露骨内容。Resecurity表示其团队与相关执法部门合作,收集并保存了不良行为者使用DIG AI制作高度逼真的CSAM内容的证据——有时被贴上“合成”的标签,但实际上被解释为非法。
全球执法机构已经报告称,人工智能生成的儿童性虐待材料案件急剧增加,其中包括涉及篡改真实儿童图像和用于敲诈勒索或骚扰的合成内容的事件。
近年来,包括欧盟、英国和澳大利亚在内的多个司法管辖区都颁布了法律,明确将人工智能生成的儿童性虐待材料定为犯罪行为,无论其中是否描绘了真实的未成年人。然而,当工具匿名托管在暗网上时,执法仍然很困难。
暗网里的人工智能没有任何限制与审查 主流人工智能,如OpenAI的ChatGPT、Anthropic的Claude、Google Gemini/Bard、Microsoft Copilot和Meta AI等平台都采用了内容审核系统。这些系统会审查或限制仇恨言论、虚假信息、色情内容、暴力、非法活动以及(在某些司法管辖区)政治言论等类别的内容。审查的主要原因是遵守法律(例如欧盟人工智能法案)、保护用户免受伤害、维护道德标准以及保障公司声誉和市场准入。
然而,这些保障措施对于像DIG AI这样的暗网托管服务来说,大多无效,因为这些服务在传统的法律和管辖范围之外运作。
犯罪分子越来越多地对开源模型进行微调,移除安全过滤器,并使用受污染的数据集训练系统,以按需生成非法输出。这催生了一种以“人工智能即服务”为核心的新兴地下经济,这种经济模式模仿了合法的商业模式,但社会风险却高得多。
降低人工智能威胁带来的风险 以下步骤概述了网络安全团队可以采取的切实可行的措施,以提高抵御人工智能攻击的能力。
加强对电子邮件、网络、身份和API攻击面上的AI辅助网络钓鱼、欺诈、恶意软件和自动化滥用行为的检测和监控。 扩大威胁情报计划,使其涵盖暗网市场、犯罪人工智能工具、品牌滥用以及人工智能定向攻击的早期迹象。 通过网络分段与主动保护面向公众的资产来减少攻击面,通过强制执行防钓鱼的多因素身份验证(MFA)、最小权限访问、持续身份验证和零信任原则来加强身份和访问控制。 通过将人工智能攻击场景纳入网络安全防护演练,培训员工和高风险团队识别人工智能生成的诱饵、深度伪造冒充以及用于欺诈和社会工程攻击的合成媒体,提高事件应急响应能力。 这些措施共同帮助各企业加强安全态势,应对人工智能威胁带来的风险。
人工智能带来新的安全挑战 不法分子已经通过精心设计的提示或对抗性后缀滥用人工智能系统,绕过内置的安全协议,导致模型生成违禁内容。DreamBooth和LoRa等工具使犯罪分子能够利用开源的低级模型(LLM)生成针对特定目标的儿童性虐待材料(CSAM)。这个问题也为犯罪分子创造了新的商业模式,使他们能够优化成本,并大规模地利用合成的非法内容发展地下经济。
Resecurity预测,不法分子将积极操纵数据集,例如受污染的训练数据(如LAION-5B,其中可能包含儿童性虐待材料或良性内容与成人内容的混合),从而使模型能够学习并复制非法输出。犯罪分子可以在自己的基础设施上运行模型,或将其托管在暗网上,从而生成在线平台无法检测到的无限非法内容。他们还可以允许他人访问相同的服务,以创建自己的非法内容。开源模型尤其脆弱,因为安全过滤器可以被移除或绕过。这些模型正在被微调和破解,以生成非法内容。
DIG AI并非孤立的发展,而是武器化人工智能如何开始重塑更广泛的威胁格局的早期迹象。随着犯罪分子和极端分子采用自主人工智能系统,安全团队必须应对规模、速度和效率远超传统人为攻击的威胁。
几天前,“暗网下/AWX”报道了新的暗网论坛BreachForums再次出现,且无法确定其背后是什么人在运营,当时据称“由于持续的技术问题和大规模DDoS攻击”,该论坛仅可访问,但无法登录。目前,该论坛已经可以在明网正常登录发贴,但暗网地址依旧无法访问。
此外,威胁行为者之间的战争仍在持续。闪光猎手组织在shinyhunte[.]rs网站上发布了更多人肉线索与内幕,为警方打击提供了更多的便利。
新BreachForums再次恢复了访问 正如前期介绍,新的BreachForums使用之前公开泄露的BreachForums备份进行搭建,因此前期的BreachForums用户均无需注册即可访问。
在技术问题和大规模DDoS攻击问题解决之后,新的BreachForums再次开放访问,该论坛目前添加了DDOS-GUARD来防护DDoS攻击,在明网访问的速度还不错。
虽然许多传言显示新BreachForums是蜜罐,但由于缺少有力的竞争对手,该论坛依旧收获了大量粉丝。从论坛的在线状态看,一小时在线用户1000人,注册用户占1/5,在没有大规模推广的背景下,已经收获了相当大的人气。
上次已经介绍,新的BreachForums发布的明网与暗网地址如下(仅供网络安全研究人员与警方调查研究使用):
明网地址:breachforums[.]bf
暗网地址:http://breachedmw4otc2lhx7nqe4wyxfhpvy32ooz26opvqkmmrbg73c7ooad[.]onion
威胁行为者之间的内讧刚刚开始 上次已经介绍,在新BreachForums背后,至少有两波人在交战:一方自称是闪光猎人(ShinyHunters),另一方则是散落的拉普斯猎人(Scattered Lapsus$ Hunters,简称SLSH)。
黑客团伙ShinyHunters与勒索软件团伙Scattered LAPSUS$ Hunters(简称SLSH)的内部冲突正在升级,一方宣称可以向联邦调查局、BL2C、国际刑警组织免费提供另一方的犯罪线索。根据对shinyhunte[.]rs网站更新内容的整理,时间线如下:
2025年10月16日:网站发布消息,直接威胁名为“James”的法国人(疑似代号S.E./X*K)。消息声称真正的ShinyHunters正在完成FBI未竟的事业,语气敌对,这是威胁行为者之间首次公开升级。
2025年10月21日:发布一封信件风格的消息,针对“James”,警告他选择的道路带来的后果比想象中更严重,断绝后路绝非明智之举。引用拉丁语短语“sic transit gloria mundi”(世间荣华转瞬即逝),并警告每一步行动都将引发远超预期的连锁反应。
2025年12月14日:否认与#SLSH(Scattered LAPSUS$ Hunters)联盟的传闻。同时链接BreachForums重启(可能试图为疑似蜜罐操作正名)。威胁如果James不回应,将在24小时内公开曝光其信息。
2025年12月18日:发布详细的PGP签名声明,附带倒计时器和逮捕照片(涉及Yuro,即A.E.,以及Trihash,即R.L.)。指控法国人“James”通过滥用信任窃取Trihash的PGP密钥,并未经其他成员同意便实施了针对Salesforce的攻击行动。声明称,归咎于ShinyHunters与SLSH的勒索事件,主要由S.E.(别名X*K,亦使用化名“James”)策划实施,他已不再是ShinyHunters(SH)成员。
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
Statement Regarding the Shiny Hunters and Scattered Spider Groups
The Shiny Hunters group includes several members, one of whom goes by the name “James.” Following the arrests of Yuro (A.E.) and, more recently, Trihash (R.L.), this individual has been attempting to divert investigators’ attention by leading them toward false trails.
网络犯罪分子、执法人员和研究人员都熟知的臭名昭著的BreachForums论坛最近又再次回归,在暗网与明网可以同时访问。
一些之前在论坛注册的用户最近收到了邮件,声称BreachForums已经重新开放并恢复了所有功能。邮件中断言内部技术问题已经解决,所有账户、帖子和内容现在都可以正常访问。
而与上次使用泰国、赞比亚等多国警方的被盗gov邮箱发送推广邮件相似,这次的发件人的电子邮件地址是:[email protected]。interieur.gouv.fr域名属于法国内政部。也就是说,从法国政府官方域名发送的电子邮件告诉黑客,BreachForums 已恢复上线,并邀请他们注册发帖。
于是所有人都怀疑这是一次来自执法机构的网络钓鱼攻击——更准确地说,是一个引诱网络犯罪分子的蜜罐,使用之前公开泄露的BreachForums备份搭建的。
Hey @Interieur_Gouv, thanks for the "exciting" BreachForums reopening alert straight from your official email—super convincing, guys! 😏
But real talk: any chance you could prioritize finding my stolen laptop instead of running this obvious honeypot op on us security… pic.twitter.com/BSgCOzHrbC
— Aleksandr Litreev (@alexlitreev) December 14, 2025 研究人员纷纷表示,暗网市场的所谓“复活”首先应持怀疑态度,这个伪装成BreachForums重启的网站是利用法国内政部域名发送通知邮件的诱饵陷阱,用户的访问记录及帖文内容极可能被用作执法证据。
然而,新成立的BreachForums论坛的运营者Indra声称,新BreachForums并非蜜罐,他们只是使用入侵获取的法国内政部邮箱发送推广邮件。
Indra宣称对此次针对法国内政部的网络攻击负责,他在声明中吹嘘,他们已获取了两个数据库的信息:TAJ(司法记录处理系统)和PFR(通缉犯档案)以及电子邮件。据报道,此次数据泄露事件影响了约1600万人。
截至目前,Indra称其仍可访问法国内政部的CHEOPS门户系统。研究人员认为黑客看起来正在使用法国内政部的Roundcube邮件系统发送电子邮件。
新BreachForums论坛管理员Indra的声明 管理员Indra于12 月13日在Breachforums发布一篇新的公告声明,对“蜜罐”事件及其他相关报道造成的误解深表歉意,对社区关注的事情进行了解释,并直接指责法国当局,提到了去年夏天在法国发生的逮捕事件。
管理员Indra在帖子中称,BreachForums”最初是“ShinyHunters/hollow”以及他们之前的另一个组织的项目。他们的整个组织(hollow、shiny等等)都被逮捕了。只有一个人拥有最初的“ShinyHunters PGP”密钥,而这个人是其朋友,但是他们之间产生了矛盾。因此,“诱饵”、“蜜罐”信息是假的,只是想关闭BreachForums,所以其就照做了。
Indra表示,在关闭网站并于15天内所有域名被查封后,相信大家都认为他们是FBI探员之类的。但显然们不是,他们会向BreachForums社区证明这一点。Indra宣布,为了报复被捕的朋友,他们已成功攻陷“MININT”——法国内政部。
Indra称,正如法国新闻报道的那样,法国内政部只承认政府私人电子邮件服务器被非法访问。但他们们绝口不提从警方档案中获取的16,444,373名个人的数据?
Indra问道,你们知道“TAJ”(Traitement d’Antécédents Judiciaires——犯罪记录处理系统)吗? “FPR”(Fichier des Personnes Recherchées——通缉犯数据库)呢?还有更多。国际刑警组织呢?你们是不是试图向他们隐瞒我们入侵“EASF MI”系统的事实?此外,你们为什么不向法国人民和全世界说明那两周究竟发生了什么?公共财政部门( DGFIP)呢?为什么只字未提?养老金部门( CNAV)呢?
上周,“暗网下/AWX”曾报道,暗网勒索软件团伙LockBit 5.0新的服务器IP地址和明网域名被泄露。同样的故事也在一个新的暗网市场Omertà Market上发生。暗网市场Omertà Market于2025年11月21日上线,其核心理念承诺“稳定重于炒作,安全胜于花哨”(stability over hype, security over flash)。大约两周后,安全研究员valor98公开曝光了该暗网市场的真实服务器IP地址,导致市场不得不关闭。这种运营信息泄露为执法部门提供了查封基础设施和逮捕运营者所需的一切信息。
Omertà Market的诞生 11月21日,管理员/u/OmertaMarket在暗网论坛Dread发布官方公告正式宣布推出Omertà Market,宣称历经数年静默开发、精雕细琢与安全测试,Omertà Market门户终于开启:http://omerta27hijua3utxjb5nvru3lo7qgrh7eym7n5hqmdqf7x3ywoedsid[.]onion
公告中表示,Omertà Market绝非是旧剧本的翻版,也不是换汤不换药的克隆,更非仓促填补空缺的尝试。Omertà自底层架构起便秉持一个核心目标:重新定义暗网市场的可能性。
公告宣称,近期既有暗网平台树立了高标准,也有暗网市场黯然退场。当多数暗网市场专注模仿的时候,Omertà在执着创新;当他人在偷工减料的时候,Omertà在筑起高墙。Omertà的每个组件都为用户提供速度、隐私与绝对掌控而生。Omertà市场的开发使命清晰:为这个已然失衡的领域重塑平衡、诚信与秩序。
公告继续声明了其豪情壮志:Omertà每项功能皆有其存在意义,每个系统都经过精密优化,每次交互都经过精细调整以保护用户的匿名性。其核心理念就是“稳定重于炒作,安全胜于花哨”。
公告描述了该暗网市场的诞生,Omertà团队耗费无数工时开发优化后端系统,对每层架构进行压力测试以确保长期韧性。该暗网市场不依赖预制代码库或外部依赖项,从基础设施到用户界面,驱动Omertà的每一部分都源自自主研发。由此打造的平台轻量、安全且可扩展,能随生态系统演进适应新挑战与用户需求。
公告继续吹嘘,Omertà市场不仅是交易平台,更是信任网络。无论是资深供应商、经验丰富的买家,还是初次探索未来的访客,Omertà都留有位置。Omertà珍视透明度、专业性与保密性——这些正是健康市场的基石。供应商与用户均可通过直接反馈渠道畅所欲言,确保Omertà与社区共同成长,而非脱节发展。
valor98的曝光与嘲讽 此次曝光源于/u/valor98发表在暗网论坛Dread上一篇题为“HOW NOT TO LAUNCH A MARKET 102”的帖子。valor98记录了三个暗网市场:Omertà Market、Orange Market 和Changa Store,它们都位于同一个ASN下,都是用 Laravel框架构建的:
Orange Market – 7x.xxx.xx7.1x Changa Store – 7x.2xx.xxx.x0 Omerta Market – xx.27.xx.xxx 这种聚集模式表明,这些业余暗网市场背后的管理员可能使用了类似的托管方案或共享基础设施。
valor98的评价简直像用大锤砸下来一样直白:“这是另一集,观看一个想当管理员的家伙笨手笨脚地装模作样,就像个住在奶奶地下室里的廉价技术小精灵。这傻子凭着自己臆想出来的‘风格’建了个网站,然后立马跑去问人工智能,‘嘿,呃,我建了个网站,怎么才能防黑客攻击??’,然后把人工智能给出的所有东西都复制粘贴了一遍,好像他刚刚破解了宇宙的秘密一样。”
“直觉编码”一词描述了一种日益严重的现象:人们使用人工智能语言模型生成应用程序代码,却不了解底层架构或安全隐患。如果代码库是由ChatGPT的输出复制粘贴组成,而这些输出是由在网站搭建完成后才询问“如何才能做到防黑客攻击”的人拼凑而成,那么结果往往是灾难性的。Omertà的IP泄露事件正是运营者将安全视为事后考虑的后果,无论这种考虑是源于人工智能生成的建议还是单纯的无能。
Dread用户/u/Scarab在评论中提供了额外的技术分析,指出Orange Market(同一ASN下的另一个暴露网站)实际上使用的是Python的Flask或Django框架,使用Jinja2模板引擎和gunicorn服务器,而不是最初声称的Laravel。/static/目录结构和服务器签名证明了这一点。/u/Scarab还指控Omertà市场“从 /d/BlackOps、/d/PrimeMarket、/d/MarsMarket 和 /d/DarkMatterMarket 等市场窃取了大量功能。
事件的后续与Omertà的关闭 Omertà发布的吹嘘公告与其实际安全状况之间的反差简直令人瞠目结舌。Omertà之前称其代码历时两年开发,代码库完全由内部团队构建,不依赖预构建的代码库或外部依赖项,并承诺提供诸多功能,包括自定义提款阈值、批量订单管理、自动回复模板等等。他们强调Omertà的运营完全由自己完成,从基础设施到用户界面都是如此。然而,大约两周的运营就证明了并非如此。当执法部门或者任何试图查找的人能够找到物理服务器位置与IP地址时,那些看似强大的功能列表就毫无意义了。
valor98发布曝光文章后,Omertà市场通过其/u/OmertaPR账号联系了/u/valor98,希望解决这个问题,迁移服务器,并与/u/valor98付费合作进行全面测试,以避免此类事件再次发生。valor98向社区分享了这条消息,并补充道:“我有生意要做啦!!!”
然而,其他社区成员也指出了这项提议的荒谬之处。用户/u/Paracelcus回复道:“如果是警察查到你的IP地址,你打算怎么办?贿赂他们然后换个服务器继续玩吗?还是付费跟他们合作,保证以后不再发生这种事?”
这个问题直击问题的核心。在IP地址泄露后才花钱做渗透测试,就好比房子着火后才去买灭火器。安全漏洞的影响已经造成。任何有能力的执法部门、竞争对手或研究人员现在都掌握了识别托管服务提供商、追踪资金流向以及可能识别运营者所需的信息。迁移服务器并不能改变之前已经存在的风险。
Scarab给出了大家的共识:“你们的市场平台彻底完蛋了。最好还是把现有的市场平台重新包装一下,推出一个新的。反正你们也是新公司,不如换个名字再重新上线。”
“暗网下/AWX”认为,缺乏安全专业知识的人工智能辅助开发,其代码在实际测试中可能运行正常,但一旦有人在对抗性环境下进行渗透测试,可能极易被攻击。暗网市场吸引了一些运营者,他们只看到了潜在的利润,却不了解维持稳定运营所需的安全手段。Omertà在其IP泄露前运营了大约两周,这表明他们从未采取过适当的安全防护措施。
如今,“Omertà”在短短两周内就彻底毁掉了自己的信誉,目前只能选择永久关闭。
暗网中隐藏着的诈骗网站比较多,“暗网下/AWX”多年来持续曝光了许多,今天要曝光的诈骗网站是这么些年以来最没有技术含量的暗网网站,仅仅使用几个html页面来搭建,甚至有可能背后的诈骗分子不是英语母语。
暗网诈骗市场”CMarket”如何推广、存在时长、诈骗金额目前均尚不得而知,欢迎大家提供更多线索。某日,“暗网下/AWX”官方Telegram群组中某网友咨询该网站是否为诈骗网站,本站(anwangxia.com)根据该网友提供的暗网域名,尝试进行了访问探寻。
暗网诈骗市场”CMarket”的洋葱域名为:
http://cmarket2mkfnxbpjtd7moahl2vel3r7bbix2mibljappe4bmwzbejtad.onion
进入该诈骗网站,映入眼帘的是网站名称”CMarket”,由一张模糊的logo图片展示,下面一行小字写着全称“International Criminal Marketplace”。但是再下面的欢迎语是“Welcome to the information market !”,且网站title标签内的名称也是“Information Market”,让人有点懵,网站名称究竟是”CMarket”,还是“Information Market”,果然诈骗网站能够做到不拘一格取名称,鉴于其洋葱域名以cmarket打头,本站姑且称之为”CMarket”。
该诈骗网站首页的正文部门看起来是其销售的商品分类与介绍,但其实是诈骗网站的7个导航页面:
个人信息:出售个人信息。此类个人信息不仅包含个人数据,还涵盖其各类活动相关的信息。 与违法行为相关的个人信息:出售个人信息。此类个人信息不仅包含个人数据,还涵盖其各类活动相关的信息。 个人健康信息:完整的个人健康信息,包括临床信息、化验结果等。 政府文件:我们可提供政府文件副本及其他政府与非政府组织的文件副本 政府身份证件:我们出售各个国家/地区的身份证件副本,这些副本采用原件格式,并附有您的照片。 身份证件模板:我们出售各个国家/地区的空白身份证件模板。 信用卡信息 | 数据库:您可以使用这些信用卡在任何地方消费:实体店购物、网购及ATM机取款。 与“暗网下/AWX”多次曝光的最大中文暗网诈骗网站“联合中文担保交易集市”一样,这些分类一眼假,导航链接虽是php后缀,点开访问却是一个个的html页面,页面中写着商品介绍的话术,配上一个比特币地址。如出售个人信息页面的话术:个人的姓名、地址、电话号码、电子邮件地址、社交媒体账号;个人的家庭成员构成;个人的照片;个人的薪资、银行账户、财务详情;个人的财产信息;以该人名义注册的公司、基金会等信息;个人的教育或教育活动详情,例如所获学位或博士学位申请情况;个人是否为某个协会的成员或领导者,以及其出席会议的情况;个人是否为工会或专业机构的成员;个人在工作文件中出现的姓名。
经测试,对于每个访问者,要求转账的比特币地址均相同:3GN7dgj2eGNf2TcSftTFRTCZ9FTfUgk9Bx,经区块链上查询,该BTC地址仅有0.00006095 BTC的收入,诈骗成果似乎远远不及“联合中文担保交易集市”,不过也许可能之前更改过BTC地址。
该诈骗网站提示的购买步骤:“1. 将款项汇至以下比特币钱包地址(3GN7dgj2eGNf2TcSftTFRTCZ9FTfUgk9Bx);2. 将付款信息(精确金额及交易ID)发送至邮箱:[email protected];3. 付款后一小时内,我们将发送信息下载链接。若需补充信息,付款后48小时内您将收到该链接。”此购买步骤与“联合中文担保交易集市”相当雷同,消耗了暗网中根本不存在的交易信任。
网站的尾部又是一幅图,整体看来,该诈骗网站框架很简单,每个页面均是头尾各一幅图,分别是banner.png与desktop.png,中间内容是诈骗话术,由于没有动态内容,连最基本的用户交互都没有,所以此类网站一眼假,诈骗网站无疑。
“暗网下/AWX”再次提醒,没有一定的名声与信誉度,没有知名暗网网站(如Dread)做担保,直接要求转账比特币,此类网站均为诈骗网站。
更多暗网新闻动态,请关注“暗网下/AWX”。
“暗网下/AWX”曾经介绍,DarkForums是一个与BreachForums类似的暗网被盗数据交易论坛,在暗网与明网均可以访问,声称可以提供任何目标的多种类型数据。据观察,自从BreachForums销声匿迹后,DarkForums发展迅猛,已经拥有将近7.5万用户,逐渐取代BreachForums。
根据DarkForums对自己的宣传,其云端存储拥有来自欧洲、亚洲、非洲、美洲、澳大利亚等六大洲目标对象的各类数据,覆盖65+个国家,这些数据都是顶级品质,包括:
⭐️军事文件数据库 ⭐️企业完整数据库 ⭐️证件扫描件(身份证-驾照-护照) ⭐️消费者信息数据库 ⭐️电话号码数据库 ⭐️电子邮箱数据库 ⭐️外汇与加密货币数据库 ⭐️赌场及游戏数据库 ⭐️号码:密码 & 邮箱 & 用户名:密码 ⭐️公民身份号 & 社会安全号 & 税务号数据库 ⭐️大型网站数据库 ⭐️去哈希化数据及其他大型云端资源 DarkForums表示,其海量数据储备是未遭破坏的原始数据库,极度新鲜且私密,且支持用户自定义请求,有顶级品质保障。其全天候更新档案库,客服24/7全天候在线支持。
根据网站发布的套餐价格,1个月套餐售价200美元,3个月套餐售价为400美元,而终身套餐售价为1000美元,免费神级升级包含在3个月及终身套餐中。
DarkForums设置了三种类型的网站会员等级:VIP会员订阅价格为20欧元/999年,MVP会员订阅价格为40欧元/终身,GOD会员订阅价格为80欧元/终身。
根据公告,DarkForums提供的暗网V3域名为:http://qeei4m7a2tve6ityewnezvcnf647onsqbmdbmlcw4y5pr6uwwfwa35yd[.]onion
除了暗网地址外,该网站同步提供了几个明网镜像地址:
https://df[.]hn
https://df[.]kiwi
https://darkforums[.]st
此外,该网站还拥有域名https://darkforums[.]me,页面显示该域名的所有者为Knox,同时显示了DarkForums的暗网与明网域名,但未作跳转。
根据DarkForums的统计数据,该暗网数据泄露论坛已经拥有超过2.5万的主题帖,近25万的回复帖,近7.5万的注册用户,最多同时在线人数接近2万,可见其人气非常旺,但不知能够坚持几日。
DarkForums称其余自称新BreachForums的论坛都是虚假的 在FBI查封域名BreachForums.hn后,DarkForums发布警告称,虽然互联网上已出现多个冒牌或克隆网站,自称是“新BreachForums”,但它们与原版BreachForums团队毫无关联,都是为了欺骗、钓鱼或窃取用户数据。而DarkForums才是目前该领域唯一活跃且合法的主要社区。
对于本站(anwangxia.com)曾经报道的一个由BreachForums前管理员Koko创建的“新BreachForums”,DarkForums在Telegram频道表示,这个BreachForums克隆站也不是正规站点,Koko是个智障骗子,以过往成就为幌子行骗。他不仅诈骗了克隆论坛所有者SEPTEMBER,更在其自家论坛实施诈骗,如今更冒用SEPTEMBER等名义兜售论坛基础设施行骗。多名社区成员反映购买其论坛时遭遇欺诈,所以请务必警惕并远离这类无赖之徒。
某Telegram频道揭露的DarkForums管理员身份未得到权威证实 近期,有国内公众号号称某Telegram频道揭露了DarkForums管理员(Lucifer、Knox)的真实身份。根据号称”开盒“信息,此人为印度人,真实姓名为”Hritik Kumbhar“,来自印度奥里萨邦(Bhubaneswar, Odisha, India),系NIST大学计算机科学学士,现为初创公司InnovexPlus创始人,具备Linux、Python、网络安全等技术背景。
泄露内容极为详尽,包括”Hritik Kumbhar“的家庭住址(Bolangir, Odisha 767001)、手机号码(+916370174459)、常用设备(三星Z Fold6/7、尼康D7200相机)、学校(NIST University)、Linkedin个人页面(https://in.linkedin.com/in/hritik-kumbhar-980174354)、多个邮箱(如[email protected]、[email protected])及移动网络IP地址(136.233.58.227)等。
据“暗网下/AWX”综合各个权威网络安全威胁情报分析专家对DarkForums的分析,尚未证实”Hritik Kumbhar“是DarkForums管理员Knox,有待进一步的消息。
DarkForums后续如何发展,FBI会不会对其采取执法行动,“暗网下/AWX”将持续关注。
随着FBI的公告宣布查封BreachForums域名,“暗网下/AWX”报道称BreachForums时代已经终结,然而FBI又被打脸,臭名昭著的暗网数据泄露论坛BreachForums再次出现,与前几个版本类似,在明网与暗网均可访问,由老版本BreachForums论坛管理员“koko”启动,且冒天下之大不韪使用泰国、赞比亚等国家警方的邮箱发送欢迎邮件。
长期以来,BreachForums一直是数据泄露、黑客工具和非法交易的中心,在一系列国际联合执法部门的打击中,陆续由多个版本出现,被打击后又消亡,并在今年上半年彻底被摧毁。然而,仅仅几个月后,它又重新启动,既说明了此类论坛的受欢迎程度高,也表明了网络犯罪论坛的顽强生命力。
新版本BreachForums论坛是由老版本BreachForums论坛版主“koko”创建的,他在一篇置顶帖中声称,他在2023至2024年期间担任BreachForums版主,经过团队慎重商议,决定让BreachForums重启。目前核心功能已通过最近的备份完全恢复。用户可以再次浏览专门讨论被盗凭证、勒索软件讨论和零日漏洞的版块。“Koko”强调,新版本BreachForums论坛“比以往任何时候都更加强大”,并增强了匿名功能以逃避检测。
新版本BreachForums并没有直接延续旧的版本 “koko”称,对暗网社区而言,过去一年充满挑战,但他们已重整旗鼓,准备重建家园!然而,新版本BreachForums并非旧版本的延续,而又是全新的开始,但界面继承了老版本的界面,且“koko”表示核心功能已从备份中恢复,团队正在从头开始重建托管服务,以解决前期存在的网站漏洞。
“我们从错误中吸取了教训,”Koko写道,并承诺改进加密和多重签名钱包,以防止未来发生盗窃。
新版本BreachForums使用了新的暗网V3域名:
http://ujdswnhjybusy2i4vcsfpkezrtg27glkxu3t5b4ttszhxyqaz3gpkbyd[.]onion
除了可以通过暗网浏览,新版本BreachForums也支持在一个新的明网域名访问,这旨在吸引更广泛的受众,包括那些不太懂技术、不愿使用Tor网络的网络犯罪分子。
新版本BreachForums论坛提供了几项重要更新:
备份与功能:已完成所有核心功能的完整备份,确保系统运行顺畅无碍。未来用户将获得无缝体验。 托管系统:托管系统正在从零重建。旧系统曾多次遭各类机构入侵,且无人知晓有多少代理曾访问数据库。为保障安全可靠性,将采用全新更安全的系统。 用户名安全:强烈建议勿使用旧用户名。此举将危及您的操作安全。请创建全新身份以保障安全。 等级恢复:凡在BF历代版本(BFv1、BFv2、BFv3…)中拥有等级的用户,将予以恢复。请联系@koko提交恢复申请。 尽管“koko”持乐观态度,但他也表示,许多人目前仍对论坛部门运营人员表示怀疑。许多论坛老手怀疑新版本BreachForums可能是执法部门故意设置控的蜜罐。一位匿名发帖者评论道:“这太干净、太快了”,他担心美国联邦调查局或特勤局等机构可能会监视活动以建立案件。
网络安全专家敦促任何访问该网站的人都要谨慎。“ BreachForums一直是一把双刃剑,它既能为研究人员提供宝贵的情报,又能吸引真正的威胁。”一家领先安全公司的威胁分析师John Doe说道。
明网域名可能使用加密货币注册 新版本BreachForums的明网域名是breached[.]sh,.sh域名是圣赫勒拿岛(Saint Helena)、亚森欣和特里斯坦-达库尼亚群岛的的国家代码顶级域名(ccTLD),该域名注册商为“NICENIC INTERNATIONAL GROUP CO., LIMITED”。NiceNIC是一家总部位于香港的网络服务公司,以其品牌NiceNIC.NET运营,是ICANN认证的域名注册商。
根据whois信息,breached[.]sh域名注册于2025年10月15日,使用了ddos-guard.net的解析服务,应是为了保证网站的安全性。域名使用了whois保护,因此无法查询域名注册时填写的注册者与管理员信息。
虽然Recorded Future等网络安全公司已发出警告,指出当局更容易通过IP日志和托管服务提供商追踪明网域名。
不过由于NiceNIC是一家拥抱加密的公司,该服务商支持多种加密货币支付,包括比特币(Bitcoin), 泰达币(Tether USDT),以太坊(ETH), 莱特币(LTC),门罗币(XMR)。因此,新版本BreachForums明网域名breached[.]sh背后真实的注册者信息估计非常难以追踪。
新版本BreachForums论坛通过使用泰国、赞比亚等多国警方的被盗邮箱传播 据多家威胁情报机构表示,新版本论坛涉嫌滥用泰国警方官方邮箱域名(police.go.th)、赞比亚警察局官方邮箱域名(zambiapolice.org.zm)开展宣传推广活动。而发送邮件的警方邮箱大多都是在各种数据泄露事件中的泄露的。
新版本论坛的管理员似乎正利用被盗的执法机构邮箱账户,绕过垃圾邮件过滤器和安全检查,使宣传信息显得更具合法性,也体现其自身的权威性,从而增强目标推广对象的信任感,使新版本BreachForums论坛呈现真实可信的表象。
新版本BreachForums论坛已经在打包出售 新版本BreachForums论坛创始人“koko”发布置顶帖子公告,称其正在寻找新的所有者,出售新版本BreachForums论坛,他们将向其转让所有权,整体售价仅为5000美元。
购买成功的新所有者将获得:
基础设施的完整访问权限(6台服务器) 域名 CDN DDOS防护 代理服务器 被扣押的旧数据库(30万+用户) 托管交易数据库(含32,000余笔托管交易) “koko”在帖子中提供了用于交易谈判的加密即时聊天工具Session的联系码,并要求新所有者须具备管理该职位及全套基础设施的能力,且要延续BreachForums现有运营理念。
“正版中文担保交易市场”是最大的中文暗网诈骗网站,在本站曝光过9次后,这个诈骗网站依旧在运营。g每一次曝光后,该诈骗网站更换一次暗网洋葱域名,并在去年年初将网站名称更改为”华人自己的暗网担保交易市场“。近期有网友提醒,“暗网下/AWX”今年的曝光,促使这个诈骗网站再再次更改了网站名称与洋葱域名。
“正版中文担保交易市场”这个中文暗网圈最大的暗网诈骗网站最新的网站名称为“联合中文担保交易集市”,副标题是“一个小高端中文类淘宝安全买卖平台”。分析该诈骗网站的三个名称:“正版中文担保交易市场”、”华人自己的暗网担保交易市场“、“联合中文担保交易集市”,可见,只要在暗网里看到名称中含有“担保”的中文网站,无论叫什么名称,不管用什么洋葱域名,必定是诈骗网站无疑。
“暗网下/AWX”多次科普,在暗网中生成一个洋葱域名只需要1毫秒,且无任何成本,因此本站(anwnagxia.com)每次曝光后,该诈骗网站均会更换一个新的洋葱域名。诈骗网站“正版中文担保交易市场”最新更换的暗网V3域名为:
http://qlm6tc2bfkfjhdoacgew6qdrqolie6352n2xek6ey5voi3gyx5cbhdad.onion
此外还有一个暗网V3域名跳转至上述域名:
http://dlzxg7eygo5ld5vsmsjzdlnxwvqcy3acicftkyyca4pyx6t7wirpw4qd.onion
上次本站曝光的暗网V3域名已经不再使用,目前无法访问:
http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion
该暗网诈骗网站就是一个用Wordpress搭建的微博客,网站打开出来的所有店铺:暗网网站搭建服务、盗刷Carding合作服务、支付宝安全转账、英国一手卡料出售CVV、华为系列产品专卖店、IPHONE手机低价批发店、超低价格卖BTC钱包等等都是一些假的发布页面,只要支付,比特币即被诈骗走,用户得不到任何响应,没有物品、没有服务,纯粹的诈骗。
目前网站的logo图片居然写着“胸怀爱国心”,是否意味着骗子有“国之大者”的爱国情怀,还是“中国人只骗中国人”的爱国情怀。
今年5月份,该诈骗网站发布了“七周年庆回馈活动”的诈骗话术:
又到了本站周年庆活动,老朋友们是不是很期待?七周年了,这七年来我们经历了很多,也认识了许多用户朋友,总之很感谢大家的一路跟随与支持。
老规矩,以下就是七周年庆典活动的方案,新老朋友按照自己的情况去狂欢吧!
1、 单笔交易达到2300美元(含)以上者,可返现交易金额的8%。符合条件者请在交易后48小时内发送交易的单号以及打币的TXID/Hash这两项内容到admincn的站内信,你可以用A账号购买用A账号发信,或者用B账号发信,甚至不注册账号完全匿名购买都可以,只要提供以上两项,核实后就会在48小时内充值入平台钱包。不注册就交易的如果要获得返现就注册一个账号来发信吧,返现只奖励到平台钱包内,没注册是没有平台钱包的。 提供TXID就能确认你是你。新老用户共享此条。
2、活动期间内累计交易10000美元(含)以上,返现累计总金额的6%。此奖励不与第1条重复奖励,如果领取过单次交易奖励的交易,将不能计算到累计交易金额之内。申请奖励方法与第1条相同,请最晚在活动期结束后48小时内发送申请信息给admincn。 新老用户共享此条。
3、本次活动作为七周年庆典回馈,将与幸运大转盘同时进行,折扣码、返现同时进行,可叠加使用。
4、凡是注册时间超过一年(北京时间2024年5月10日前注册)的用户,满足单笔最大交易达到$500以上且交易次数在三笔以上者,可来信联系admincn获得在本站苹果手机店铺只购买一台手机的权限。一般情况下该店手机是不零售的。
5、活动起始时间为本文字公告之日,结束时间为本文字不再置顶。
6、无论你是陪伴我们走过几年时间的老朋友,还是刚接触的新用户,我们都祝愿在往后的日子里你能越走越顺,心想事成。
马上双十一、双十二即将到来,预计该诈骗网站又将使用新的话术,一旦新的诈骗话术发布出来,“暗网下/AWX”将立即发文提醒。
经分析,该诈骗网站每个月都有数比诈骗收入进账,希望本站的预警能够挽救更多天真的小白。再次预警,希望诸位暗网达人谨记,暗网里没有能占的便宜,访问暗网的结局是人才两空:人被抓走,钱被骗走!
更多暗网新闻动态,请关注“暗网下/AWX”。
“Scattered LAPSUS$ Hunters”是一个新的暗网勒索软件团伙,由三大勒索软件团伙Scattered Spider、Lapsus$和ShinyHunters合并而成,近期,该团伙推出了基于Tor的暗网数据泄露网站,其中包含42家受害公司。推出该暗网网站目的是迫使受害者向其付费,以避免被盗数据被公开发布。
该勒索软件团伙宣称已攻破Salesforce系统,通过针对Salesforce的供应链攻击窃取了其客户的约10亿条记录。该团伙指控Salesforce缺乏双重认证及OAuth防护机制,称逾百个实例遭入侵,并威胁将实施数据泄露、提起诉讼及披露技术细节。
目前其暗网泄密网站(http://shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid[.]onion)发布了42家公司,包括保险巨头安联人寿、墨西哥航空、开云集团、法国航空、谷歌、思科、Stellantis、澳洲航空、汽车巨头Stellantis、信用机构TransUnion以及员工管理平台Workday等,这些公司均因受到针对存在漏洞的Salesforce实例的攻击而被影响。
FedEx – 1.1TB Aeroméxico – 172.95GB Qantas Airways – 153GB UPS – 91.34GB HMH – 88GB Vietnam Airlines – 63.62GB Toyota Motor Corporation – 64GB Stellantis – 59GB Air France & KLM – 51GB Republic Services – 42GB Adidas – 37GB Disney/Hulu – 36GB Canvas by Instructure – 35GB Instacart – 32GB McDonald’s – 28GB TripleA – 23GB TransUnion – 22GB Home Depot – 19.
9月底,“暗网下/AWX”看到,名为“globalmonero”的成员在暗网Dread发布主题宣布,新的暗网门罗币点对点交易平台Global Monero功能全面上线,正式开放注册,诚邀新老交易者加入。
globalmonero表示,自去年五月LocalMonero关闭以来,其一直在开发全新的无需KYC认证的点对点XMR交易平台,如今终于准备好向公众发布首个版本,欢迎暗网用户前来体验,并称也可通过明网访问Global Monero,期待能够听到门罗币社区的反馈!:-)
globalmonero宣布了新门罗币交易平台Global Monero的特色:
无KYC认证 无JS脚本 隐藏服务 开放注册 交易者无需邮箱注册 在公告中宣称,如果用户已经在类似平台(AgoraDesk、Paxful、LocalCoinSwap)建立交易信誉,可以告知,其将为此类用户导入信誉记录!
Global Monero兼具点对点交易以及交易仲裁平台双重功能,与LocalMonero类似,发件方需先将XMR存入网站托管账户,以便工作人员处理交易过程中可能出现的纠纷。网站最终将对完成交易收取1%手续费,但是开放测试期(截至11月1日)免收平台费用!
globalmonero提醒用户注意,因为这是该网站的首次测试版发布,可能存在各种问题,用户如果有任何疑问或遇到网站问题,可以反馈,也可通过私信联系官方!:-)对于关键问题,其还提供⚠️漏洞悬赏⚠️,即可以给予赏金。
对于需要提供服务支持、漏洞报告或功能建议的用户,Global Monero官方提供了一个邮箱:service@globalmonero[dot]co
globalmonero在帖子的回复中发布了带有PGP签名的网站信息,以验证自己的Global Monero网站管理员身份。
—-BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
http://globalxmrdr4zospiujlhkanhkpl5zouwynfmduaq5qhfcxnshi4ksyd.onion/pgp.txt
Signed with the Global Monero Service Key.
Post /post/1355724096b97b01e8bb is authentic.
—–BEGIN PGP SIGNATURE—–
iQITBAEBCgB9FiEE60eNiEY0SaME8SXdXJgNEMTMQwoFAmjZV6FfFIAAAAAALgAo
aXNzdWVyLWZwckBub3RhdGlvbnMub3BlbnBncC5maWZ0aGhvcnNlbWFuLm5ldEVC
NDc4RDg4NDYzNDQ5QTMwNEYxMjVERDVDOTgwRDEwQzRDQzQzMEEACgkQXJgNEMTM
QwpOKgwA1T0lvaLmTNLQaWTGtuwJPCC8Ao2Oatzv8CWKELkRmZMODtNhHQvLZ1R/
zFlLcjxG8kEy7Rh18twhKxq18R6G0z4qmtYnxUJHXX+CfEjAV4i8X8iLtwQUqpUL
KbcTUmCYq+QMqpAbMmiYS7yN3B36mVmvQWCGxSu8+5Uiaoz3JlCNWsUeVNj7vv/s
yf3ViWZ3zrNgbf0A+LobXbEnsOLQ5tDYjcTkFKC7gRX+Bn0T+yHOrOpHvnSYndpX
1t3Sr6dG/Gk60EHhGous0oaAm78Gwqp6LL7/4SIEfRIIvS1ZN1AR7sxBBRQtGXba
33GoDoSUB70h+U0y4oLmR1VSIBIrLORI3Pb41per3TA6dB5X5vgHXS5kpYzBQcA0
XmMeFGBJ+KdFlTLgwwDyQbvGshpCvMO/+TY2cG7RLhzaAdKOVIdgIEZnKunFXSQy
eKuBzWrUgM+5qcGhk+0dKnLyMDZweuc2yGYdg2MglH4arQRrh6L5ljHw/refxHF4
/AWeKu/Q
=DVlR
—–END PGP SIGNATURE—–
Global Monero的明网地址是:http://globalmonero[.]co
Global Monero的暗网地址是:http://globalxmrdr4zospiujlhkanhkpl5zouwynfmduaq5qhfcxnshi4ksyd[.]onion
“暗网下/AWX”认为,暗网中的此类平台非常多,由于缺乏信誉度与公信力,使用此类平台需要格外谨慎,此类暗网网站是否靠谱请自行核实。与暗网交易市场一样,用户极有可能遭遇退出骗局,门罗币被网站运营者倾吞。
此外,尽管此类平台提供了匿名性,请勿用于犯罪用途,否则天网恢恢、疏而不漏,人在做,天在看,执法机构在抓捕!
更多暗网新闻动态,请关注“暗网下/AWX”。