本站于今年4月第12次曝光了盘踞在中文暗网领域最大的诈骗网站——“联合中文担保交易集市”,一个多月过去了,虽然其暂未更换暗网域名,但却在近期密集更新了3个诈骗话术,似乎在为年中618营造氛围。
“联合中文担保交易集市”曾经使用过两个臭名昭著的名称:“正版中文担保交易市场”、”华人自己的暗网担保交易市场“,正常情况下,每次“暗网下/AWX”发布曝光文章后,该诈骗网站都会立即更换其暗网洋葱域名,估计离换下一个域名不久了,本站将持续跟踪。目前“联合中文担保交易集市”使用的暗网域名还是:
http://mmawlww2ns2yxkzno5xefv2rveiyruskujfexc7ti3l3rr4fvh6db3ad.onion
“暗网下/AWX”一一分析该诈骗网站最新日期的的诈骗话术:
话术一:关于用户忘记密码的处理方式 这不是新话术,但是发布时间却改成了2026年5月1日,为了让受害者认为该网站有客服在服务,但一个网站的客服怎会只是一个使用[email protected]邮箱的管理员?具体的话术全文如下:
长期以来都有一些用户忘记自己的登录密码,但因为人数不多且有些已联系我们解决,所以一直没有专门对此发过公告。如今为了更好提升用户体验及帮助一些不知道怎么解决的朋友解决问题,还是发个公告说明一下。
首先声明一点,本平台是无法获知你的密码的,你第一次输入你要的密码后会加密保存在系统内,就算是工作人员也无法获知你的密码是什么,更不会无缘无故去修改用户密码。
第二,如果你再次登录账户发现无法登陆,一定是你把自己密码弄错了,如果这个账户没有交易记录,直接再注册一个新账户即可。没有任何交易记录的账户也没什么价值,不如新注册一个快捷。如果你实在想用原来的账户,可以新注册一个账户给我们来站内信,24小时之内我们会给你不记得密码的账户修改一个简单的密码并回复你,比如123456。你登录后可自行修改密码。
第三,如果懒得再注册新账户发站内信,你也可以直接联系我们站外邮箱,不需要登录就能看到,[email protected],只是站外邮箱使用率低,我们不提倡通过这个方式来信,或许几天才能解决问题和有回复。站内信是效率最高的。
第四,请不要使用站内系统自动发信的方式解决忘记密码的问题,你点击忘记密码后,我们系统是不会发信给你的,没有用的。只能人工解决。之所以这么设置,主要是因为我们的注册需要填写邮箱,但出于用户隐私考虑,我们并不需要提供真实的邮箱,所以绝大多数用户填写的邮箱都是虚假的,系统回复虚假邮箱的邮件没有意义。
重点:忘记密码请重新注册一个账号站内信联系admincn,我们会人工处理!
话术二:聘请轮岗人员 这也不是新话术,但是发布时间却改成了2026年5月1日,招聘兼职并不是真招聘,因为诈骗网站根本用不上,其目的还是为了让小白信任其业务量,甚至会有小白在应聘的同时受骗。具体的话术全文如下:
因业务拓展人手不足,需聘请工作人员数名,线上全职工作,永不见面不得询问及透露个人隐私。一天工作10小时,工作时间安排在24小时任何时间段都有可能,一个月休7天,待遇优厚,有门槛,有意向者请站内信联系管理员admincn。
话术三:八周年庆典回馈活动 这是条新话术,发布时间为2026年6月1日,“暗网下/AWX”之前也报道了去年5月9日该网站发布了“七周年庆回馈活动”话术,对比这两个话术,只换头尾的语言以及时间(北京时间2024年5月10日前注册->北京时间2025年6月1日前注册),整体内容没有大的变化。新话术如下:
八周年了,在广大用户的支持与期待下,本站迎来了八周年生日。按照以往的周年庆典惯例,我们推出以下活动来回馈大家!
1、 单笔交易达到2300美元(含)以上者,可返现交易金额的8%。符合条件者请在交易后48小时内发送交易的单号以及打币的TXID/Hash这两项内容到admincn的站内信,你可以用A账号购买用A账号发信,或者用B账号发信,甚至不注册账号完全匿名购买都可以,只要提供以上两项,核实后就会在48小时内充值入平台钱包。不注册就交易的如果要获得返现就注册一个账号来发信吧,返现只奖励到平台钱包内,没注册是没有平台钱包的。 提供TXID就能确认你是你。新老用户共享此条。
2、活动期间内累计交易10000美元(含)以上,返现累计总金额的6%。此奖励不与第1条重复奖励,如果领取过单次交易奖励的交易,将不能计算到累计交易金额之内。申请奖励方法与第1条相同,请最晚在活动期结束后48小时内发送申请信息给admincn。 新老用户共享此条。
3、本次活动作为八周年庆典回馈,将与幸运大转盘同时进行,折扣码、返现同时进行,可叠加使用。
4、凡是注册时间超过一年(北京时间2025年6月1日前注册)的用户,满足单笔最大交易达到$500以上且交易次数在三笔以上者,可来信联系admincn获得在本站苹果手机店铺只购买一台手机的权限。一般情况下该店手机是不零售的。
5、本活动自发布之日起到北京时间2026年6月30日有效。
持续话术:幸运大转盘 这是该诈骗网站一直以来长期在使用的“高级”话术,其宣称幸运大转盘可以转到有效折扣码的优惠,用于任何商品,已有82.3%的优惠被用户使用。该幸运大转盘似乎想努力为打算购买其商品的小白们增添信任,但演技有点拙劣(Your coupon code: 无效码123456,怎么看都不像是正常的),简直画蛇添足。幸运大转盘的具体话术如下:
购买指定商品后的第一次摇奖有效,没购买指定商品摇出来的为无效。详情看下面。 返现的现金联系管理员即可发放到平台钱包内,折扣券是之后交易时可扣减。 只允许注册用户,非注册用户不在参与之列。 返现操作:交易后请5天内与管理员站内信联系三天内即发放到平台内你的账户中。 折扣券操作:你获得折扣码后保存下来,5天内的任意一次交易可在支付页面填写折扣码,自动扣减。(只有生成有效折扣码后才能识别,无效码不能。) 奖品请在5天内使用。 只有在购买以下商品后第一次转出来的折扣码或者返现码为有效:百万美元、BTC/LTC收购、支付宝转账、交易所转币、苹果手机批发、玄学等项目。 获得的有效折扣码可用于任何商品。
-如有疑问,可站内邮箱咨询admincn。 骗子无处不在,骗术一直在更新,“暗网下/AWX”郑重提醒,天底下没有免费的午餐,暗网没有掉馅饼的的好事,请珍爱生命,远离暗网!
更多暗网新闻动态,请关注“暗网下/AWX”。
本站第12次曝光:暗网反诈骗:最大的中文暗网诈骗网站“联合中文担保交易集市”,又双叒更换了洋葱域名
本站第11次曝光:暗网反诈骗:最大的中文暗网诈骗网站“联合中文担保交易集市”,已经发布“双十一”诈骗话术
本站第10次曝光:暗网反诈骗:最大的中文暗网诈骗网站“华人自己的暗网担保交易市场”,再再次更换名称,更换洋葱域名
本站第9次曝光:暗网反诈骗:中文暗网最大的诈骗网站——“华人自己的暗网担保交易市场”,春节期间大肆行骗
本站第8次曝光:暗网反诈骗:本站多次曝光的“华人自己的暗网担保交易市场”,再次更换洋葱域名继续行骗
本站第7次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光6次的“正版中文担保交易市场”,终于改了网站名称
本站第6次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光五次的“正版中文担保交易市场”,新年又更换了暗网域名
本站第5次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光四次的“正版中文担保交易市场”,再次更换暗网域名
本站第4次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光三次的“正版中文担保交易市场”,再次更换暗网域名
本站第3次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站两次曝光的“正版中文担保交易市场”,又更换暗网域名了
本站第2次曝光:请注意,本站曝光过的某暗网中文担保交易市场已经更换暗网域名,又新增多位网友被骗
本站第1次曝光:曝光某暗网中文担保交易市场,实为诈骗网站
2025年”暗网下/AWX“曾报道了”暗网中文论坛“、”自由城“以及”长安不夜城“3个中文暗网交易市场的状况,彼时”长安不夜城“大红大紫,”自由城“焕新出发,“暗网中文论坛”无法访问。一年过去了,2026年的中文暗网的状况如何,从”暗网下/AWX“的Telegram群组聊天来看,靠谱的中文暗网交易市场依然只有“长安不夜城”一家,而各平台的具体现状,本站(anwangxia.com)继续为大家独家探访。
一、“长安不夜城”继续独占鳌头 与去年相比,”长安不夜城“的在售商品数目大幅增长,目前已经涨至将近1.5万,从所发布商品的浏览量与交易看,该交易市场有一定的活跃度。此外,”暗网下/AWX“多次报道,”长安不夜城“虽然是一个暗网市场,但在Telegram配有多客服售后服务,解决市场纠纷与交易矛盾效率非常高。
”长安不夜城“的交易规则是该交易市场能够做到五年口碑如一的基石,如果不被警方打击,如果还能坚持下去,“长安不夜城”应可以做到长期霸榜。这里挑几条规则给大家分享:
7.为了防条子,请用户注意自己发布的信息,尽量不要用国内软件和服务。
8.本站禁止儿童色情类、间谍政治类、执法机构类商品以及虚假加密货币交易,请大家谨慎发布商品。
9.为了保证大家的资金安全,新增加提币地址或修改密码后3天之内禁止提币,请大家提前准备。
10.向电报机器人@cabyc_bot发送/bind即可绑定电报,新订单、新纠纷、新登录等消息将推送至电报。
4.买家提起申诉后,卖家和买家都要及时响应,管理员也会及时调解。但是无论买家卖家,超过5天不回复管理员问题的,都被视为自动放弃申诉权力,管理员会强行成交或者取消订单。建议卖家绑定tg,新的申诉可以通过tg机器人提醒。
5.本平台唯一官方群组:https://t.me/cabyc 请大家记住,其他群组都为骗子群组,请大家不要相信,欢迎大家进群交流。
1.如买家下单后,卖家超过3天没有发货,或者交易后产生纠纷,卖家超过3天没有进行相应的回复或处理,请买家先挂起交易,并私聊管理员,核实后系统将强制退款给买家并下架其商品
2.“线下商品”仅有平台充值买家可购买,“线下商品”无需买家付款,每日限购10个,原则上该类商品仅有卖家的联系方式,本平台不对后续未在本平台产生的交易负责
3.买家请谨慎与卖家站外交易,否则被骗后本平台概不负责
4.买家一旦发现购买的商品中存在商品详情中未写明的缺点项,请先联系卖家进行弥补,如10天内卖家并未做出回复,请私信管理员,核实后,平台将强制退款
“长安不夜城”暗网V3域名:
http://cabyceogpsji73sske5nvo45mdrkbz4m3qd3iommf3zaaa6izg3j2cqd[.]onion
二、”自由城“继续不愠不火 ”暗网下/AWX“前期报道“自由城”虽然全新改版,但已经完全沦为诈骗平台,后群友提醒称“自由城 站长把站给卖了”、“老有人说跑充值和吞押金的事”。
与“长安不夜城”类似,“自由城”在Telegram虽然没有配置群组,但是有官方宣传频道与售后客服,但是在Telegram的三位管理员已经从“@freecityadmin、@Komonado、@rick2172355”改为了“@freecityadmin、@sshu6666”,似乎也印证了其卖站与更换管理员的传言。
上个月,“自由城”的Telegram频道“自由城暗网 教程”曾发布公告:
由于系统维护期间发生异常故障,部分用户在 5月15日至5月20日期间 的存款可能出现处理异常。目前技术团队正在紧急排查与修复相关问题。
如您曾在上述期间进行存款操作,请及时联系 @sshu6666 协助核实与处理。
此外,受系统维护影响,提款处理进度有所延迟。对此给您带来的不便,我们深表歉意。待系统维护完成后,所有提款申请将第一时间为您处理。
感谢您的理解与支持。
似乎“自由城”仍在努力运营,经检查,“自由城”的两个暗网V3域名没有变化,依旧为:
http://anwangokzgv725vgg3sjxu7rmwvvod47ilmhd7prhjorzn6pvngvruyd[.]onion
http://freecitybth2lligi7zezokj7xh3eafzt3wnoiiqzba7dstvbr7sj4ad[.]onion
三、”暗网中文论坛“发布公告称“长安不夜城”是骗子 ”暗网中文论坛“,现自称为“暗网交易市场”,大家更熟悉的叫法是“暗中”或者”中暗“,是中文暗网里历史最悠久的交易市场。后因管理员多次卷币跑路,被本站多次曝光,彻底沦为一个诈骗平台。
去年”暗网下/AWX“探访的时候,”暗网中文论坛“无法正常访问,不过在当年4月已经恢复正常。但是由于多次利用各种方法卷走用户比特币收割用户,导致彻底失去了用户信任。
暗网毕竟是一个很小的圈子,或许是觉得“长安不夜城”带走了它的大多数用户,继2023年“暗网中文论坛”发布公告宣称“长安不夜城盗取其网站用户的账户密码”后,今年3月,“暗网中文论坛”发布新的公告,宣称“长安不夜城一就是大骗子”,并细数了四条证据:一是免费发布数据,二是有Telegram客服群,三是商品都是管理员自己发的,四是很多商品不予通过。这些是不是事实、能不能成为是骗子的证据不好说,但“暗网下/AWX”相信这几点可以作为几个中文暗网交易市场的对比点,毕竟群众的眼睛是雪亮的。
“暗网中文论坛”发布的具体公告内容如下:
长安不夜城一就是大骗子
我不是交易市场的管理,只是这里一个10年的商家,没有贬低别人抬高这里的打算,只是发泄下情绪,我是2022年就在长安不夜城这个垃圾网站上就注册了的,曾经也是长安不夜城建站时的管理邀请我们去发布商品的,经过几年的观察,发现长安不夜城就是几个骗子在运营,证据如下:
第一:任何商家都可以在长安不夜城发布商品,且是免费,因为你必须把自己的数据链接提交上去,站长的目的是收集所有商家手中的数据,把所有商家的数据下载后保留,然后一个月后再把你的商品下架,从2022年至今,我们已经被站长下架了几千个数据商品,这就是长安不夜城的套路之一。
第二:长安不夜城的飞机群里面大量公安卧底,在长安不夜城群里被抓坐牢的最少200人左右,这个不是我危言耸听,我身边十几个人,之前在本交易市场很安全,但是2022开始,因为去了长安不夜城的网站和长安不夜城的飞机群做生意,十几个朋友被抓去坐牢,大家千万小心长安不夜城这个站长,他经常性故意透露大家信息给公安,大部分是商家被抓,被抓后你所有的数据销售的钱被他们吞掉。长安不夜城的飞机群估计是公安的养鱼池,等上级要抓捕任务时直接去群里捞鱼就可以。
第三:长安不夜城里面的商家基本上是站长自己的小号在发布的商品,因为其他的商家商品基本上一个月后就会被下架,大部分商家的商品被站长下载后,过几个月会被站长的小号改个数据名称重新发布在长安不夜城,各位商家可以仔细去找找,你额商品是不是这样,你几个月前上架的商品后来被下架了,过几个月又出现一个和你原先差不多的商品,这个网站现在的1万个商品99%都是站长自己的小号在发布的。
第四:长安不夜城里任何人发布商品,特别是数据商品,很多都通不过,这是因为站长手中有和你商品相同的数据,他不再需要你的重复商品,就不会给你审核通过,所以该网站4年时间的商品不足1万个,打架想想:一个网站几万人注册,但是每天不超过10个商品能发布成功,就算你的数据是他们手中没有的,等你发布成功了,一个月后也会自动给你下架。
这个就是长安不夜城的骗术套路,商家们千万小心,别再去送数据给这伙骗子了。
几年时间,我们把长安不夜城所有的商品都采集下来了,共一万多个,全部低价抛售了,需要的直接本站首页查询下面的关键词:
长安数据1……长安数据z
为了打击长安不夜城这伙骗子,我们还会长期更新长安不夜城里面的所有数据,到这里来全部低价给你
从该公告可以看出,竞争已经白热化了,“暗网中文论坛”的管理员将“长安不夜城”的大量数据买回来,然后低价发布在自己的网站上。这是典型的“杀敌一万,自损八千”,不让我好过,我也不会让你好过。
“暗网中文论坛”暗网V3域名一直在变化,以下是其网站发布的:
http://mxxxxxxxs7kepo3qh4nmaauztnzh7q3vrcfy4beamgexyw3tqxboj4ad[.]onion
http://xxxxxxxxxs6qbnahsbvxbghsnqh4rj6whbyblqtnmetf7vell2fmxmad[.]onion
http://xxxxxxxxss2wdceudprpxnmvjs5kwnlnfvun57koml6hkp6u7qwyhsyd[.]onion
http://xxxxxxxzxxbmwmggbeyt26t6nlgktj5le7crh4yat6ztfwqxn4uxvmad[.]onion
http://xxxxxxxxneal7wz6nk2tuquh54pruer5nfgwtsdw4c4xk6jc2swaidad[.]onion
http://xxxxxxxxqeuwvkrsesijvfcem4dtkpm77srgru2vrvk7dvm4hur3ymid[.]onion
目前没有线索能够判断这些中文暗网交易市场处于国内还是国外,也不清楚中国警方有没有采取行动,但是随着国际执法机构的密切配合,挖出这些暗网交易市场的藏身之处并不难,毕竟FBI与欧洲刑警组织的成功案例非常之多,这三个中文暗网平台何时覆灭,”暗网下/AWX“将持续保持关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
4月初,“暗网下/AWX”曾报道冒牌Shinyhunters推出了又一个山寨BreachForums,6月1日,该山寨BreachForums宣布与暗网勒索软件团伙ShadowByt3$达成合作关系,而ShadowByt3$也在其暗网泄密网站替这个山寨BreachForums进行推广宣传,然而,仅仅过了一天,这个版本BreachForums的2个明网域名都被查封。
本站(anwangxia.com)多次介绍,由于多个版本的BreachForums的源代码与数据库均已经泄露,也就意味着谁都可以搭建属于自己的BreachForums,从而导致了暗网里出现了多个版本的的山寨BreachForums。
ShadowByt3$是最新出现的一个比较活跃的勒索软件团伙,今年来已经发布了10个受害者,包括2月份的UMSA、5月份的Hotelogix、University Of Georgia、Amplify Technology、Stride Learning、PowerCampus、StarBucks Company(StarBucks.com)、Hotelogix Company(Hotelogix.com)以及六月份的Cropwise(Syngenta Group)、Lead Company(Leadership Boulevard)。
勒索软件团伙ShadowByt3$宣布“BreachForums回来了” 6月1日,勒索软件团伙ShadowByt3$在其暗网泄密网站发布公告称:BreachForums is Back (breachforu[.]ms),公告中,该勒索软件团伙写道,这并非泄密,只是一个公告,该公告将持续展示,直到他们决定结束推广为止。
ShadowByt3$称,可能有人好奇为何会出现BreachForums的标志,之所以有标志,是因为该勒索软件团伙已与BreachForums达成了合作协议。ShadowByt3$形容这个BreachForums平台看起来很正规,勒索软件团伙DragonForce也曾为其做过推广。既然DragonForce推广过他们,因此他们也决定推广。
该勒索软件团伙表示,虽然目前存在许多山寨站点,但如果其他团队都在那里,那应该就是正规的。自BreachForums创立之初,该团伙就一直支持BreachForums,并愿意竭尽全力助其重振旗鼓。从今天起,该团伙将为这个BreachForums推广一个月,且将在他们的同意下延长推广期。并请大家去看看,注册账号,希望大家都加入。
ShadowByt3$称将与BreachForums共同承担风险,但就目前来看,该平台是合法的。至于BreachForums的克隆站点,那是一段漫长的故事,要解释清楚恐怕要花上很长时间。
BreachForums也发布公告称与ShadowByt3$达成合作关系 BreachForums在论坛发布公告:“ShadowByt3$ 2.0 X BreachForums X VULNS”,公告表示,很高兴宣布,已与一家新兴的“数据勒索即服务”(Data Extortion-as-a-Service)组织——ShadowByt3$ 2.0——达成另一项战略试用合作。
公告写道:“您是否掌握了企业数据,却苦于无法将其变现?让ShadowByt3$为您代劳勒索事宜!ShadowByt3$提供了一个平台,联盟成员可在该平台托管窃取的数据,而ShadowByt3$运营团队将负责与受害组织沟通并实施勒索行动。”
公告还称,联盟成员将获得专属控制面板以管理整个运营流程,收益分成比例起始为70%。若想成为联盟成员,需通过面试审核,并给出了一个暗网网址用于提供高质量的泄露数据。
BreachForums发布声明宣布明网域名已经被暂停访问 BreachForums称注意到其明网域名(breachforu[.]ms)已被暂停,最近几天,breachforums[.]rs和breachforu[.]ms都因竞争对手的攻击而被暂停。
声明称,前ShinyHunters成员Yukari每天坐在办公桌前,使用其入侵的警方邮箱不断发送请求,要求关闭BreachForums的明网域名。她一定是精神彻底崩溃了,因为BreachForums永远不会关闭,他们正在迁移到更优质的顶级域名(TLD):breachforum[.]st将成为BreachForums的新主域名,将在24小时内上线并进行重大更新,并还将在不久后发布.su及其他防弹顶级域名的镜像站点。
声明同时表示,BreachForums正在采取一切必要措施,确保此类事件不再发生。尽管如此,他们还是对这些事件深表遗憾,并为给用户带来的不便致以诚挚歉意。BreachForums也在积极筹备ShinyHunters的明网付费或泄露网站,该网站将在今天或24至48小时内上线。
BreachForums称其与ShinyHunters的合作伙伴关系以及各项赞助将不受任何影响地继续进行,BreachForums将比以往任何时候都更加强大。没有什么能阻止BreachForums。感谢大家的耐心等待。
这个自称ShinyHunters冒牌者究竟是谁,期待警方的执法行动来解释,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
近日,有黑客在暗网论坛出售知名成人网站OnlyFans的数亿条记录,这些记录据称泄露了OnlyFans创作者和粉丝的用户名、姓名、联系方式等信息,还包括他们的活动指标和社交媒体资料。如果属实,OnlyFans的大规模数据泄露事件可能会暴露会员的真实身份,但是,OnlyFans否认了黑客的说法。
OnlyFans数据被发布在一个热门的数据泄露论坛上 本周早些时候,使用“Euphoric_Reply_5727”化名的网络犯罪分子在网络犯罪论坛上发布了关于其庞大用户数据库的广告,以 0.313个BTC(约合15万人民币)的价格出售多达3.4亿OnlyFans用户的信息。他们声称该用户数据库是从OnlyFans内部系统获取的,包含用户的个人信息、账户活动和支付相关信息。
根据攻击者的说法,出售的数据库还包含OnlyFans用户的用户名、姓名、联系方式(例如电话号码和电子邮件地址)、关联的社交媒体个人资料以及OnlyFans使用统计数据,例如粉丝数量、点赞数量和上传内容的详细信息。
攻击者在该帖子中附带了10条样本记录,所列数据包括用户ID、用户名、电子邮件地址和注册信息。样本中其他为空的字段包括电话号码、账户标记和关联账户。样本数据似乎来自2025年8月左右,这可能表明攻击者收集了更早的数据。
攻击者声称:“该列表提供了对据称是OnlyFans内部数据库转储的独家访问权限,其中包含约3.5亿条用户记录。该数据集涵盖粉丝账户和创建账户,暴露了广泛的个人身份信息和详细的账户活动指标。”
目前尚不清楚该黑客是否已找到该数据库的买家。
OnlyFans回应称有关数据泄露的报道不实 OnlyFans是一个总部位于伦敦的热门订阅制社交媒体平台,许多创作者在上面出售成人内容的访问权限,这意味着许多用户可能不希望自己的身份在网上被曝光。
该平台在全球拥有超过450万名创作者和和超过3.7亿订阅用户,允许内容创作者与付费订阅者分享独家图片、视频和直播。创作者可以设定每月订阅价格,并保留80%的收入,其余部分归平台所有。
近年来,随着OnlyFans在美国部分地区不断扩大年龄验证要求,围绕成人平台的隐私问题也日益凸显,促使一些用户在分享个人信息时变得越来越谨慎。
对于此次超级数据泄露事件,OnlyFans公司回应称,有关数据泄露的报道不实。
OnlyFans未遭入侵,数据来自公开数据集 威胁行为者也承认,他们没有直接入侵OnlyFans或入侵其任何在线数据库,而是收集了来自较早的入侵事件和泄露数据库中的活跃OnlyFans用户信息。
该数据库的汇编使得攻击者能够将用户的社交媒体账户与其个人信息关联起来,任何能够访问该数据库的人都可以轻松查明数百万OnlyFans用户的真实身份。将用户名、电子邮件、电话号码和社交媒体帐户关联起来,可能会使创作者和订阅者面临网络钓鱼活动、勒索、跟踪、冒充和有针对性的骚扰。
针对成人网站的网络攻击时有发生,今年年初知名中文成人网站海角社区也曾发生一起数据泄露事件,一名威胁行为者在DarkForums发布了一个数据,包含大约1570万条用户记录。
“暗网下/AWX”还看到,今年1月,网络安全研究员Jeremiah Fowler在一个公开泄露的数据库中发现了OnlyFans用户的登录凭证。该数据库包含近1.5亿条热门社交媒体和在线平台(如 Gmail、Facebook、Yahoo、Outlook 等)的登录凭证,包括4800万个Gmail帐户、400万个Yahoo帐户、1700万个Facebook帐户、650万个Instagram帐户、340万个Netflix帐户、150万个Outlook帐户、140万个.edu帐户,以及其他许多帐户。
看似无关的数据泄露事件中的信息交叉引用,恰恰说明了在线数据泄露的危险性。用户通常会使用一个或几个电子邮件地址注册多个在线账户。一旦发生数据泄露,一个数据集就可以作为参考点,用于匹配电子邮件地址并获取其他数据。
近期,一个暂时活着的BreachForums突遇变故,其创始人HasanBroker遭受该论坛的其他管理员背刺。论坛的其他几位管理员抢走论坛的明网域名、论坛数据库与源代码并另立门户,虽然后来HasanBroker成功夺回明网域名,但已经改变不了其BreachForums论坛已经易主的事实。不过HasanBroker表示,他正在创建新的BreachForums论坛。
HasanBroker称BreachForums的其他几位工作人员背叛了他 5月20日,HasanBroker在其Telegram频道发布公告称,昨天在其外出途中,BreachForums论坛的管理员Diencracked、Resolute以及其他几位工作人员背叛了他,为了谋取私利和满足贪欲,他们把一切都毁了。
HasanBroker表示,可以想象,无论是从情感层面,还是从恢复论坛的角度来看,他都深受伤害。但他向大家保证,最多48小时到一周内,他就能恢复并解决所有问题。因为这种情况他以前也遇到过,也成功恢复了,这次一定同样能做到。
HasanBroker称,他提拔了Diencracked,Diencracked所拥有的一切都是因为他,而Diencracked的作用微乎其微。如果有论坛用户认为Diencracked是个能干的领导者,能为大家带来光明,那就错了,Diencracked却为了钱背叛了他和那些信任他的人,
HasanBroker还表示,他已成功恢复了所有数据,包括服务器和所有信息——但在重新评估所有选项并为平台建立更稳固的基础之前,他会暂时关闭论坛。
随后,HasanBroker称,他还成功恢复了BreachForums明网域名breached[.]st的控制权,其域名已经完成了KYC认证,而背叛者们现在无法掌控该域名。HasanBroker感谢大家在这段艰难时期陪伴左右,感谢了Spear、PwnForums以及所有支持他的人,还有其视若珍宝的忠实粉丝们。
Diencracked已经成为BreachForums新的创始人 在原先的BreachForums里,Hasan和Vect已被清除。Diencracked与LAPSUS$、TeampPCP、GhostSec、Resolute和Shinigami共同接管了论坛的领导权。
Diencracked发布公告称,HasanBroker已经结束,虽然原明网域名breached[.]st还能使用,但即将迁移至新的明网域名breached[.]su,希望大家更新书签。
HasanBroker控诉Diencracked,并表示新论坛正在开放 HasanBroker继续在其Telegram频道发布新的公告称,他在一年前这个时候创办了BreachForums,直到大约8个月后,Diencracked主动联系他加入,他才知道Diencracked的存在。
HasanBroker表示,希望Diencracked知道,他曾把Diencracked当作亲兄弟般爱护——任何和他共事过的人都能证明这一点。但是Diencracked背叛了他,背叛了论坛成员们,还背叛了整个论坛。
HasanBroker说:
这不是你第一次对我做出这种事了。我祝你生活顺利,但我绝不会坐视你像对我那样坑害其他人。
你知道自己是个毫无价值、毫无尊严的叛徒。当你绝望、自杀倾向、孤立无援地来找我时,我在你人生最低谷时陪伴着你。你为了一个我本打算送给你的论坛而失去了我,现在你一无所有了,因为你暴露了真面目。
HasanBroker称,无论白天多忙,都会回复每一位成员的私信,都尽可能满足每个人的请求,尽管自己也并非完美无缺——他深知人无完人,但他绝不会为了金钱或社区声望而背叛朋友,更何况这里的荣誉唯有清白才能赢得。
HasanBroker保证,在困难时期,领导者从未抛弃大家,他将会尽最大努力,战斗到底。
HasanBroker透露,他组建了一支由开发者和所有者组成的小队,正致力于BreachForums与DoxByte两个项目。其中BreachForums依旧使用XenForo平台,正在全面重建前端界面。因为他和新加入的开发团队对旧版前端界面的外观并不满意,而且他们认为之前的开发者过度依赖人工智能,导致界面设计得十分糟糕。
公告显示,新的BreachForums论坛已经做出设计调整,前端界面已经发布,让论坛看起来不像个2022年风格的论坛。HasanBroker保证新论坛将在三周内发布。
对此,“暗网下/AWX”认为,当前的暗网社区运营更像似联合国安理会对世界的治理,从以前的单一管理员运作走向了多元管理,而争议就在利益冲突中产生。HasanBroker新开发的BreachForums何时诞生,本站将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
2026年1月28日,美国FBI联合佛罗里达南区检察官办公室突袭并查封了俄罗斯暗网论坛RAMP(Russian Anonymous Marketplace,俄罗斯匿名市场)——这个从2021年底开始运营的俄语网络犯罪论坛。它提供Tor隐藏服务(rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion)和明网镜像(ramp4u[.]io),可以在暗网与明网同步访问,比很多竞争对手的论坛更容易访问,也因此聚集了全球各地的黑客——从西方的网络犯罪分子到东亚的威胁行为者。
RAMP基于商业论坛软件XenForo 2.2.5搭建,设有出售网络访问权限、恶意软件、勒索软件合作、被盗数据,以及招聘犯罪自由职业者的专门版块。主版块与子版块的版块名称包含俄语、英语、中文,帖子标题也混杂俄语、英语和中文,显示出它的国际化程度。
最近,该暗网论坛的一份完整MySQL数据库泄露给了安全研究人员,其中包含从2021年11月到2024年1月的用户记录、1732个论坛主题帖、7707名注册用户、340333条IP日志记录、1899个私人对话和3875条私信。这份数据像X光一样,照亮了勒索软件生态系统的供应链运作方式。
Comparitech发布的分析报告称:“Comparitech独家获得了RAMP泄露的数据库。完整的MySQL转储文件包含用户记录、论坛帖子、私人消息、IP日志以及管理员活动,时间跨度从2021年11月到2024年1月。”
主要发现如下:
论坛活跃度从2022年第四季度的67个帖子低点激增至2023年第四季度的300个帖子,增幅达348%,表明在执法部门的干扰之后,论坛出现了大幅复苏。 RAMP论坛促成了向包括国防承包商、能源公司、银行、医院和政府机构在内的20多个国家的组织出售企业网络访问权限。 美国是头号目标:在标明国家的列表中,美国出现的比例高达40%。 一位单一的准入经纪人发布了41个不同的主题帖,出售进入企业网络的入口,其中包括一家年收入12亿美元的美国公司以及在南美和乌克兰的政府网络。 14个勒索软件即服务(RaaS)项目积极招募联盟成员,提供高达90%的赎金分成。 政府机构是受影响最大的行业(21家),其次是金融/银行业和科技/电信业(各11家)。 Comparitech表示:“本分析基于 RAMP 论坛 XenForo 安装的 MySQL 数据库转储。我们解析了原始 SQL 语句,从 xf_user(7,707 条记录)、xf_thread(1,732 条记录)、xf_post、xf_ip(340,333 条记录)、xf_admin_log、xf_conversation_master(1,899 条记录)和 xf_conversation_message(3,875 条记录)表中提取了结构化数据。” 分析总结道。“IP 地址从二进制格式解码,并根据已知的 ISP 分配进行地理位置定位。所有结论均基于数据库转储中的数据,尚未通过与实际来源的独立验证。”
访问权限市场:勒索软件攻击的“开门钥匙” RAMP上规模最大的版块就是“访问权限市场”(Access(SSH/RDP/VNC/Shell)),共有333个主题在出售被入侵企业网络的入口权限。这正是勒索软件攻击链的第一环——没有初始访问,就谈不上后续部署恶意软件。
最常见的访问类型是RDP(远程桌面协议),占59个主题帖,其次是VPN访问(22个)和SSH/Webshell(22个)。域管理员(Domain Admin)权限只有12个,但价格最高,因为它能直接控制整个网络。
访问类型分布(部分数据):
RDP:59个(43%),风险等级:致命 VPN(企业网关):22个(16%),致命 SSH/Webshell:22个(16%),高危 域管理员:12个(9%),致命 卖家最爱美国目标,占已明确国家列表的40%。其他热门国家包括欧盟各国、加拿大、巴西、印度、中国等。被针对的行业中,政府机构(含大使馆、军队)最多(21个),其次是金融/银行和技术/电信(各11个)。
真实案例里,一个卖家“inthematrix”一个人发了41个主题帖,其中包括一家年收入12亿美元的美国公司、南美和乌克兰的政府网络。还有韩国一家年收入160亿美元的大型企业、阿联酋电信(13亿美元)、丰田巴西工厂等高价值目标。
2022年初,市场以RDP为主;到2023年底,VPN访问大幅增加。这和2023年爆发的Cisco、Fortinet、Citrix等VPN产品严重漏洞密切相关。卖家“blackod”曾在2023年11月连续发布5个Cisco VPN访问的主题帖,覆盖美、澳、加、英,显示出自动化扫描和批量利用的痕迹。另一个帖子直接提到Pulse Secure的CVE-2019-11510漏洞,说明已知但未及时打补丁的漏洞仍是主要入口。
勒索软件即服务(RaaS):分成最高可达90% RAMP有专门的RaaS版块,60个主题用于招募“affiliate”(附属攻击者)。趋势很明显:早期分成是80/20(附属/运营商),到2023年中已变成90/10——附属攻击者能拿走100万美元赎金中的90万。这种高分成反映了市场对熟练攻击手的激烈争夺。
论坛上共出现14个RaaS项目,包括AvosLocker、Conti、Luna(Rust语言)、Knight 3.0、NoEscape、Bl00dy、KUIPER等。最令人担忧的是破解版构建工具和源代码泄露:LockBit 3.0 Builder、PHOBOS、Zeppelin2等。一旦工具泄露,任何中等水平黑客都能独立发动攻击,不需要加入任何RaaS联盟,也不用分成。
此外,论坛还出售破解版商业渗透测试工具:Cobalt Strike 4.8(合法年费5900美元)、Core Impact 21.3(年费2万美元以上)。这些专业级工具被零成本提供给犯罪分子,进一步降低了入门门槛。
恶意软件超市与犯罪人才市场 恶意软件版块有121个主题帖,涵盖:
漏洞与0-day:22个(SonicWall VPN RCE、Office 0-day、WinRAR RCE等) 加密器/FUD工具:17个 勒索软件:12个 RAT与后门:11个 信息窃取器:10个(LummaC2、Mars Stealer等) 僵尸网络:7个(一个声称能绕过主流加密货币交易所2FA的僵尸网络,售价2.
“联合中文担保交易集市”是最大的中文暗网诈骗网站,在本站曝光过10多次后,这个诈骗网站依旧在运营。不过每一次曝光让这个诈骗网站更换一次暗网洋葱域名的永恒定律没有改变,其在去年10月份本站独家报道了该诈骗网站的又一次更换域名后,其选择再次更换域名。“暗网下/AWX”去年的几次曝光,促使这个诈骗网站再次更改了洋葱域名,但此次并没有更换网站名称,依旧自诩为”联合中文担保交易集市“。
诈骗网站“联合中文担保交易集市”最新更换的暗网V3域名为:
http://mmawlww2ns2yxkzno5xefv2rveiyruskujfexc7ti3l3rr4fvh6db3ad.onion
上次本站曝光的暗网V3域名已经不再使用:
http://qlm6tc2bfkfjhdoacgew6qdrqolie6352n2xek6ey5voi3gyx5cbhdad.onion
持续使用的临时调整域名(访问后跳转至新域名):
http://dlzxg7eygo5ld5vsmsjzdlnxwvqcy3acicftkyyca4pyx6t7wirpw4qd.onion
这个暗网最大的中文诈骗网站一开始自称“正版中文担保交易市场“,在本站(anwangxia.com)多次曝光后,于2024年更名为“华人自己的暗网担保交易市场”,后“暗网下/AWX”又跟踪曝光报道,该诈骗网站于2025年更名现在的名称:“联合中文担保交易集市”。但不管名称为什么,这只是用开源程序Wordpress搭建的一个小博客网站而已,并非一个真实的暗网市场。
访问该诈骗网站,可见电商模块使用Wordpress的WooCommerce插件进行配置,”我要买“区域的”实体物品“、”虚拟物品“以及”服务“均为虚假商品,”我要卖“区域的”开新店费用“、”上架两件以上商品费用“、”广告费用“以及”超标图片费用“也是假的,所有的一切均为了让傻子给他转账BTC。
”互动空间“页面的内容为其管理员定期更新的诈骗话术,例如今年2月9日发布一条对答话术:”感谢上天让我重获新生!感谢百万项目!“:
qianyun:我是前面的那个穷学生,入手百万十天了。撸了网贷,其实我是大学辍学,打过好几份工了一事无成。父母的积蓄也没多少了。就是一种被世界遗弃的感觉。幸好我遇到了这个网站坚定的购买了百万,即使父母反对我也必须赌一赌。事实证明我赌对了。上天总算给我开了一扇窗。感谢帮过我的所有人,感谢网站管理员也感谢百万团队,我一定好好珍惜这次的机会,这也是我唯一的机会了
wangsir:年前就想做了,初五了,年过得差不多了,明天我就入手。
123le2:上天会眷顾有准备的人,即使遇到再多困难,只要选择对了一次就能翻身。在这里就是这样的。
hargrove:@qianyun 我真的信了你是大学生……现在大学生眼神都挺清澈的。
ca47liu:老牌项目值得信赖的,加入了的人都会感谢,改变何止是一点点,简直就是金手指。
ns1994:哈哈哈,刚开始玩都是很兴奋的,突然钱来得那么容易。慢慢就习惯了,一个月几十万是正常收入。加油吧小兄弟。
相信许多暗网小白看到上面的话术,都会信以为真,可这只是这个诈骗网站最常规的常规诈骗话术而已。不是骗子多聪明,而是傻子足够笨。今年愚人节,2026年4月1日,该诈骗网站的管理员又有模有样地发布了一条招聘公告——”聘请轮岗人员“:
因业务拓展人手不足,需聘请工作人员数名,线上全职工作,永不见面不得询问及透露个人隐私。一天工作10小时,工作时间安排在24小时任何时间段都有可能,一个月休7天,待遇优厚,有门槛,有意向者请站内信联系管理员admincn。
骗子觉得傻子太傻了,所以选择在愚人节发布这条公告,这其实也是新的诈骗话术,试图让不明真相的傻子觉得该诈骗网站业务繁忙。而事实上,这个诈骗网站没有真实业务,根本不会需要所谓”工作人员“。
总而言之,“暗网下/AWX”郑重提醒,请远离暗网,远离骗子!
更多暗网新闻动态,请关注“暗网下/AWX”。
本站第11次曝光:暗网反诈骗:最大的中文暗网诈骗网站“联合中文担保交易集市”,已经发布“双十一”诈骗话术
本站第10次曝光:暗网反诈骗:最大的中文暗网诈骗网站“华人自己的暗网担保交易市场”,再再次更换名称,更换洋葱域名
本站第9次曝光:暗网反诈骗:中文暗网最大的诈骗网站——“华人自己的暗网担保交易市场”,春节期间大肆行骗
本站第8次曝光:暗网反诈骗:本站多次曝光的“华人自己的暗网担保交易市场”,再次更换洋葱域名继续行骗
本站第7次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光6次的“正版中文担保交易市场”,终于改了网站名称
本站第6次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光五次的“正版中文担保交易市场”,新年又更换了暗网域名
本站第5次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光四次的“正版中文担保交易市场”,再次更换暗网域名
本站第4次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光三次的“正版中文担保交易市场”,再次更换暗网域名
本站第3次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站两次曝光的“正版中文担保交易市场”,又更换暗网域名了
本站第2次曝光:请注意,本站曝光过的某暗网中文担保交易市场已经更换暗网域名,又新增多位网友被骗
本站第1次曝光:曝光某暗网中文担保交易市场,实为诈骗网站
近期Indra的BreachForums出现了运营崩溃以及所谓的“退出骗局”后,一个名为PwnForums的新暗网论坛应运而生,该论坛一出生即王炸。前几天刚刚人肉了原BreachForums管理员“N/A”的真实身份,随后又发布了其主要竞争对手暗网论坛DarkForums的论坛数据库。可怜的DarkForums遭遇了严重的“背刺”——其大量用户的真实IP地址惨遭泄露,匿名神话再次破灭。
雨后春笋:新成立的暗网论坛PwnForums PwnForums被确认为一个新成立的独立论坛,据称由Indra版本的BreachForums的前版主和资深成员创建。虽然它声称与之前BreachForums的管理团队没有官方联系,但其领导层构成表明,无论在运营还是社区结构方面,都保持着一定的连续性。
该暗网论坛在功能和用户群方面定位为BreachForums的直接继承者,旨在恢复中断的活动,并为威胁行为者提供熟悉的环境。PwnForums声称拥有截至2026年3月28日原BreachForums更新的历史主题、帖子和用户数据库。
PwnForums的出现凸显了网络犯罪领域一个反复出现的模式:一个平台倒下后,另一个平台会迅速崛起取而代之。凭借继承的信任、现有的用户凭证以及声称拥有的历史数据访问权限,PwnForums 作为数据泄露和网络犯罪分子协作的重建中心,构成了重大风险。
PwnForums的明网域名:pwnforums.[]st
PwnForums的暗网域名:pwnfrm7rbf6kyerigxi677lcz5ifmoagdbqqknwdu2by27wfdst5qmqd[.]onion
内战升级:PwnForums大战DarkForums 4月15日,PwnForums的管理员john在其论坛发布主题:“DarkForums · 420k rows · Posts/Users/IPs”,帖子称“PwnForums社区的各位好,在整倒了N/A之后,我们想向大家介绍由一个名为“Knox”的Pajeet运营的DarkForums(顺便提一句,此人正在出售其用户数据) 我们利用了一个myBB漏洞,从而提取了用户数据。”具体用户数据如下(字段:用户名、IP、主机名、错误、帖子):
~ 427,000 条记录,涵盖帖子 ID 0 至 442,200,每条记录将帖子 ID 与用户名、IP 地址和主机名关联起来。 ~ 44,300 名唯一用户的 IP 地址被泄露。 ~ 78,000 个唯一 IP 地址。 ~ 19,300 次通过 Tor 节点建立的连接。 ~ 15,200 次通过 VPN/主机服务商建立的连接。 ~ 97,400 条包含住宅主机名的记录(真实的个人 ISP)。 ~ 168,400 条无主机名的记录(仅 IP 地址,无反向 DNS)。 ~ 122,700 条错误记录(67,000条已删除帖子,43,000次超时,7,500次访问被拒)。 john在帖子中说:“您愿意在一个已禁用洋葱服务的论坛上发帖吗?您愿意在一个已将大量 Tor IP 地址列入黑名单的论坛上发帖吗?您愿意在这样一个论坛发帖吗?该论坛不仅记录用户最近一次登录和注册时的IP地址,还记录他们曾在DarkForums发帖时使用的IP地址。”
在暗网的世界里,真实IP地址就是威胁行为者的命门。DarkForums此前一直标榜其平台的安全性和对用户隐私的极致保护,但此次泄露直接撕掉了这层伪装。根据泄露的数据样本显示,其中包含了大量与恶意软件分发、勒索软件协作相关的活跃账号信息。
从技术层面分析,这次泄露极有可能是因为DarkForums的服务器配置存在漏洞,或者由于myBB程序存在0day漏洞导致论坛权限被竞争对手渗透所致。但无论什么原因,当攻击者能够直接获取并公开用户的真实访问日志时,所谓的Tor匿名保护就彻底失效了。
“暗网下/AWX”认为,这不仅仅是一次简单的数据库失窃,更像是暗网论坛之间为了争夺“流量”与“权威”而进行的毁灭性打击。
渔翁得利:全球执法部门和安全研究机构大丰收 此次泄露的影响远超表面,由于许多攻击者在访问论坛时并未能完美地隐藏其真实出口,泄露的IP地址直接指向了他们所使用的VPS服务商、甚至是个人的家庭宽带出口。对于全球执法部门和安全研究机构来说,这无疑是一笔巨大的情报财富。通过对IP地址进行溯源,可以准确定位目标从而获取网络犯罪分子的真实身份。
这起事件再次提醒了那些游走在法律边缘的人:在技术对抗的最高维度,没有绝对的避风港。当暗网论坛开始通过曝光对方用户老底来进行“商业竞争”时,整个地下生态的信任基础正在加速瓦解。对于安全从业者而言,这一定是一个追踪高价值威胁组织(APT)或勒索软件团伙的关键突破口。
“暗网下/AWX”曾报道,在今年一月底FBI摧毁臭名昭著的RAMP论坛之后,一个允许交流勒索软件的新暗网论坛T1erOne悄然诞生,并宣称自己是RAMP论坛的替代品,为从事交易被盗数据、协调勒索软件攻击以及分发恶意软件的网络犯罪分子提供交流平台。只不过发展几个月后,该论坛人气依旧不愠不火。
为了吸引更多人访问,暗网论坛T1erOne诚邀对访问T1erOne感兴趣的研究人员加入。现在研究人员可以直接在该论坛上(tier1[.]life/register)注册为研究人员,研究人员账户享有特殊的有限访问权限。
除此之外,近日,该论坛还宣布了一场黑客征文大赛,旨在吸引全球顶尖的黑客和安全研究员分享他们的“实战干货”。该活动由1万美元(约合 7 万人民币)奖金支持,作为总奖金池,让人得以一窥这些暗网空间中知识共享和奖励的方式。
然而,这次竞赛引入了一种不同的动态,它类似于合法的网络安全生态系统,在那里研究人员记录发现并分享漏洞利用技术。根据论坛管理员发布的官方公告,帖子内容为:“大家好!我们很高兴宣布 T1erone [ARTICLE CONTEST #1 – 2026]。竞赛获胜者将获得奖金:第一名 – 5000美元,第二名 – 3000美元,第三名 – 2000美元,[总奖金池 10000美元]。文章提交从2026年4月13日开始,到2026年5月14日结束。”
该公告显示,这场暗网文章竞赛将于2026年4月13日至2026年5月14日举行,奖金金额奖金设置非常诱人:第一名5000美元、第二名3000美元、第三名2000美元,总奖金池为1万美元,据称由cry0勒索软件赞助。
黑客征文大赛征集高质量的黑客攻击技术文章、新型漏洞利用(Exploits)以及网络渗透技巧,邀请网友提交涵盖广泛高级主题的文章,这些主题包括:
通过React和Node.js中反配置缺陷实现的远程代码执行(RCE)。 对API和后端系统的命令注入攻击。 SaaS平台中的不安全直接对象引用(IDOR)漏洞。 现代模板引擎中的服务器端模板导入(SSTI)。 PHP和Java中的不安全反编译利用。 通过Markdown或Office文件渲染实现的客户端代码执行。 针对路由器和摄像头的固件攻击。 RouterOS及类似系统中的权限提升技术。 来自Cisco、MikroTik、Oracle和Ubiquiti产品的利用方法。 浏览器组件(如WebGPU和Blink)中的零日发现。 AI辅助的漏洞发现和逆向工程。 绕过AV和EDR安全系统的技术。 远程过程调用(RPC)机制的利用。 就背景而言,诸如RCE、IDOR和SSTI等漏洞允许攻击者执行任意代码或访问受限数据,而固件攻击则允许对硬件设备进行持久控制。同样,AV/EDR绕过技术旨在规避现代安全解决方案的检测。
T1erOne论坛为参与者制定了严格的指导方针。文章必须发布在指定的论坛板块,并包含特定前缀才能符合资格:提交必须发布在Articles板块,并带前缀“[Contest]”。文章链接必须在竞赛线程中分享,并附上参赛说明。
所有用户均有资格参与,无论注册日期或活跃度如何。严格禁止使用多个账号。此外,竞赛执行内容质量标准:文章必须原创,并基于作者的个人经验。提交内容必须全面涵盖所选主题,包括工具、技术和方法论,包含演示视频可能会提高获胜机会。最低长度要求至少为一页A4纸。不允许复制或转载材料,不鼓励过度使用填充内容。
尽管此类比赛在暗网论坛(如XSS, Exploit.in)其实有着广泛传统,2023年XSS论坛曾宣布举办[XSSware]软件项目竞赛,奖金2万美元。但T1erOne此次明确要求“编写 Exploit”作为核心评估标准,这意味着他们不仅是在收集知识,更是在筛选具有实战杀伤力的工具。对于安全工程师来说,这通常预示着在接下来的几个月里,可能会有新型的攻击手段或未公开的0-day漏洞利用方式从该论坛流向交易市场。
此类竞赛的存在可能令人惊讶,但它标志着暗网论坛内的一个更大趋势。除了非法市场和数据交易之外,这些平台还充当技术交流中心,会员们在这里记录和完善漏洞利用技术,关键区别在于知识应用的意图和背景。
本文只是揭示这些暗网生态系统的运作方式,“暗网下/AWX”不提倡参与此类活动,遵守法律是基本行为准则。
更多暗网新闻动态,请关注“暗网下/AWX”。
根据PwnForums论坛发布的耻辱墙公告以及X账号@IntCyberDigest的爆料,社交媒体和黑客社区的不同消息来源将保加利亚网络安全专家Angel Tsvetkov与BreachForums的管理员联系起来。BreachForums是买卖被盗数据的主要平台之一,当前主要有三个版本的BreachForums在运营,这里所指的BreachForums是Indra版本的BreachForums。
2026年3月15日,Indra的BreachForums暗网论坛突然无法访问,身份不明的管理员选择关闭了该网站,后来证实这是一起退出骗局。不过,当时网络反情报威胁调查联盟(CCITIC)声称对此事负责。
在Indra的BreachForums论坛关闭了十天后,论坛管理员之一“N/A”使用今年2月份的备份,通过新的域名BreachForums[.]sb重新启动该论坛,这次使用的管理员新化名是“Caine”。两天后,其他工作人员确认Caine就是之前卷款跑路的那个人,之后整个管理团队选择集体辞职。由于没有版主,“N/A”再次尝试出售该论坛的基础设施,此后大概是被DarkForums的Knox买走。
PwnForums称,这并非“N/A”首次犯案,在他担任管理员期间,“N/A”一直通过二级账户进行托管诈骗,兜售他并不拥有的数据库,收取款项却不交付任何产品。他还拖欠与他达成协议但从未履行义务的各方款项。
事件发展的时间线 2026年3月15日:BreachForums论坛无法访问,后经内部讨论,被描述为管理员主导的破坏活动。 2026年3月25日:据报道,BreachForums以“Caine”的化名重新启动,据称使用了之前的备份。 2026年3月27日:管理团队声称“Caine”和“N/A”是同一个人,整个管理团队集体辞职。 3月27日之后:据称管理员试图转移或出售论坛控制权。 被暗网论坛PwnForums钉上耻辱墙上的N/A究竟是谁 PwnForums已确认N/A为安吉尔·茨韦特科夫 (Angel Tsvetkov),他是一名保加利亚网络安全专家、渗透测试员和漏洞赏金研究员,拥有渗透测试和漏洞研究背景。他以其在识别和负责任地披露全球主要平台漏洞方面的工作而闻名。他在HackerOne和Intigriti等平台上享有盛誉,曾报告过影响大型企业的漏洞。他的工作主要集中在Web应用程序安全、漏洞发现和对抗性测试方面。
PwnForums称,Angel Tsvetkov是一位认证的道德黑客,HackerOne会员,曾因负责任的信息披露而获得哈佛大学、福特汽车公司、博世、BBC和OLX等多家企业机构的致谢,并曾荣获新闻媒体BBC和安全公司ESET的多项嘉奖。
然而,他表面上是一名白帽黑客,实际上却运营着最大的数据交易论坛,他同时是暗网论坛BreachForums的管理者,对论坛用户进行托管诈骗,两次卷款潜逃,并试图出售一个并非属于他的论坛。事实证明,道德黑客“负责任的信息披露”是有选择性的。
真实身份是如何关联出 PwnForums称,该归因得到了许多技术证据的支持,例如个人帐户和非法活动之间重复使用IP地址和登录密码,并得到@IntCyberDigest等X用户的认可。
从邮箱进行关联,Angel Tsvetkov一个常用的匿名邮箱为[email protected],常使用用户名SecPentester1337与secpente123,在RaidForums、Cracked.to、Dedicatet.com和Altenen等多个网络犯罪论坛注册了账号,填写的出生日期为1993年1月28日,另外在RaidForums论坛上还有一个用户名Vojilion9292与同一邮箱关联。
此外,[email protected]邮箱还关联了一个Twitter账号,注册于2018年9月29日,账号名为“Peter”,用户名为@Peter00111Peter,所在地为保加利亚,个人简介为:“渗透测试/漏洞猎手/道德黑客”。此人在多个正常论坛上使用多个名字,所有名字都与同一个电子邮件地址关联,所有地址都指向保加利亚普罗夫迪夫。
从密码进行关联,N/A的论坛账户密码被破解出来是“Awdawd123!”,然而有趣的是,Angel Tsvetkov个人网络安全咨询公司的官方商务邮箱[email protected]也反复使用同一个密码。
PwnForums感叹,这位获得认证的道德黑客、HackerOne会员、曾为多家机构提供密码安全咨询的人士,竟然在犯罪论坛账号和自己的商务邮箱中重复使用同一个密码。
从IP进行关联,N/A曾使用过的IP地址中有一个是78.130.187.42,该IP地址曾用于登录RaidForums和Cracked等论坛,该IP地址的地理位置位于保加利亚普罗夫迪夫。
无语的是,N/A曾联系PwnForums吹嘘其在该论坛植入后门并上传了一个名称为nike-sh.txt的文件,后该论坛管理员查看nike-sh.txt的访问日志,有且仅有一个IP:78.130.187.42,PwnForums认为Angel Tsvetkov通过自己的家庭IP地址访问了这个文件。
道德黑客Angel Tsvetkov驳斥了这些指控,称其“不实” 然而,保加利亚网络安全专家安吉尔·茨韦特科夫(Angel Tsvetkov)在接受采访时,断然否认了有关他是知名网络犯罪论坛BreachForums管理员的指控。茨韦特科夫称,散布的数据“是虚假的,而且极具破坏性”,并声称这些数据是基于“来自与网络犯罪相关的来源的未经证实的说法”。
当被直接问及他与该平台的所谓关联时,这位道德黑客坚称他没有参与BreachForums论坛的管理或运营,并否认拥有与网络犯罪活动相关的账户或化名。他表示:“我与相关人员没有任何关系,也从未在这些论坛担任过管理员或任何类似职务。”
关于他的身份与网络安全社区内这些活动之间的关联,这位专家指出,他并不清楚第三方是如何在未经授权的情况下使用他的数据的,并澄清说他目前正在分析情况。“我不知道第三方是如何在未经我授权的情况下在这个论坛上使用我的身份和数据的,”他表示。
这位专家在最初的沟通中坚称,已发布的信息“并不反映现实”,并警告说,信息的传播可能会产生影响。
“由于这篇文章的发表,有关我的虚假信息正在传播,执法部门和其他第三方也能看到这些信息,”他指出。