2026年1月28日,美国FBI联合佛罗里达南区检察官办公室突袭并查封了俄罗斯暗网论坛RAMP(Russian Anonymous Marketplace,俄罗斯匿名市场)——这个从2021年底开始运营的俄语网络犯罪论坛。它提供Tor隐藏服务(rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion)和明网镜像(ramp4u[.]io),可以在暗网与明网同步访问,比很多竞争对手的论坛更容易访问,也因此聚集了全球各地的黑客——从西方的网络犯罪分子到东亚的威胁行为者。
RAMP基于商业论坛软件XenForo 2.2.5搭建,设有出售网络访问权限、恶意软件、勒索软件合作、被盗数据,以及招聘犯罪自由职业者的专门版块。主版块与子版块的版块名称包含俄语、英语、中文,帖子标题也混杂俄语、英语和中文,显示出它的国际化程度。
最近,该暗网论坛的一份完整MySQL数据库泄露给了安全研究人员,其中包含从2021年11月到2024年1月的用户记录、1732个论坛主题帖、7707名注册用户、340333条IP日志记录、1899个私人对话和3875条私信。这份数据像X光一样,照亮了勒索软件生态系统的供应链运作方式。
Comparitech发布的分析报告称:“Comparitech独家获得了RAMP泄露的数据库。完整的MySQL转储文件包含用户记录、论坛帖子、私人消息、IP日志以及管理员活动,时间跨度从2021年11月到2024年1月。”
主要发现如下:
论坛活跃度从2022年第四季度的67个帖子低点激增至2023年第四季度的300个帖子,增幅达348%,表明在执法部门的干扰之后,论坛出现了大幅复苏。 RAMP论坛促成了向包括国防承包商、能源公司、银行、医院和政府机构在内的20多个国家的组织出售企业网络访问权限。 美国是头号目标:在标明国家的列表中,美国出现的比例高达40%。 一位单一的准入经纪人发布了41个不同的主题帖,出售进入企业网络的入口,其中包括一家年收入12亿美元的美国公司以及在南美和乌克兰的政府网络。 14个勒索软件即服务(RaaS)项目积极招募联盟成员,提供高达90%的赎金分成。 政府机构是受影响最大的行业(21家),其次是金融/银行业和科技/电信业(各11家)。 Comparitech表示:“本分析基于 RAMP 论坛 XenForo 安装的 MySQL 数据库转储。我们解析了原始 SQL 语句,从 xf_user(7,707 条记录)、xf_thread(1,732 条记录)、xf_post、xf_ip(340,333 条记录)、xf_admin_log、xf_conversation_master(1,899 条记录)和 xf_conversation_message(3,875 条记录)表中提取了结构化数据。” 分析总结道。“IP 地址从二进制格式解码,并根据已知的 ISP 分配进行地理位置定位。所有结论均基于数据库转储中的数据,尚未通过与实际来源的独立验证。”
访问权限市场:勒索软件攻击的“开门钥匙” RAMP上规模最大的版块就是“访问权限市场”(Access(SSH/RDP/VNC/Shell)),共有333个主题在出售被入侵企业网络的入口权限。这正是勒索软件攻击链的第一环——没有初始访问,就谈不上后续部署恶意软件。
最常见的访问类型是RDP(远程桌面协议),占59个主题帖,其次是VPN访问(22个)和SSH/Webshell(22个)。域管理员(Domain Admin)权限只有12个,但价格最高,因为它能直接控制整个网络。
访问类型分布(部分数据):
RDP:59个(43%),风险等级:致命 VPN(企业网关):22个(16%),致命 SSH/Webshell:22个(16%),高危 域管理员:12个(9%),致命 卖家最爱美国目标,占已明确国家列表的40%。其他热门国家包括欧盟各国、加拿大、巴西、印度、中国等。被针对的行业中,政府机构(含大使馆、军队)最多(21个),其次是金融/银行和技术/电信(各11个)。
真实案例里,一个卖家“inthematrix”一个人发了41个主题帖,其中包括一家年收入12亿美元的美国公司、南美和乌克兰的政府网络。还有韩国一家年收入160亿美元的大型企业、阿联酋电信(13亿美元)、丰田巴西工厂等高价值目标。
2022年初,市场以RDP为主;到2023年底,VPN访问大幅增加。这和2023年爆发的Cisco、Fortinet、Citrix等VPN产品严重漏洞密切相关。卖家“blackod”曾在2023年11月连续发布5个Cisco VPN访问的主题帖,覆盖美、澳、加、英,显示出自动化扫描和批量利用的痕迹。另一个帖子直接提到Pulse Secure的CVE-2019-11510漏洞,说明已知但未及时打补丁的漏洞仍是主要入口。
勒索软件即服务(RaaS):分成最高可达90% RAMP有专门的RaaS版块,60个主题用于招募“affiliate”(附属攻击者)。趋势很明显:早期分成是80/20(附属/运营商),到2023年中已变成90/10——附属攻击者能拿走100万美元赎金中的90万。这种高分成反映了市场对熟练攻击手的激烈争夺。
论坛上共出现14个RaaS项目,包括AvosLocker、Conti、Luna(Rust语言)、Knight 3.0、NoEscape、Bl00dy、KUIPER等。最令人担忧的是破解版构建工具和源代码泄露:LockBit 3.0 Builder、PHOBOS、Zeppelin2等。一旦工具泄露,任何中等水平黑客都能独立发动攻击,不需要加入任何RaaS联盟,也不用分成。
此外,论坛还出售破解版商业渗透测试工具:Cobalt Strike 4.8(合法年费5900美元)、Core Impact 21.3(年费2万美元以上)。这些专业级工具被零成本提供给犯罪分子,进一步降低了入门门槛。
恶意软件超市与犯罪人才市场 恶意软件版块有121个主题帖,涵盖:
漏洞与0-day:22个(SonicWall VPN RCE、Office 0-day、WinRAR RCE等) 加密器/FUD工具:17个 勒索软件:12个 RAT与后门:11个 信息窃取器:10个(LummaC2、Mars Stealer等) 僵尸网络:7个(一个声称能绕过主流加密货币交易所2FA的僵尸网络,售价2.
“联合中文担保交易集市”是最大的中文暗网诈骗网站,在本站曝光过10多次后,这个诈骗网站依旧在运营。不过每一次曝光让这个诈骗网站更换一次暗网洋葱域名的永恒定律没有改变,其在去年10月份本站独家报道了该诈骗网站的又一次更换域名后,其选择再次更换域名。“暗网下/AWX”去年的几次曝光,促使这个诈骗网站再次更改了洋葱域名,但此次并没有更换网站名称,依旧自诩为”联合中文担保交易集市“。
诈骗网站“联合中文担保交易集市”最新更换的暗网V3域名为:
http://mmawlww2ns2yxkzno5xefv2rveiyruskujfexc7ti3l3rr4fvh6db3ad.onion
上次本站曝光的暗网V3域名已经不再使用:
http://qlm6tc2bfkfjhdoacgew6qdrqolie6352n2xek6ey5voi3gyx5cbhdad.onion
持续使用的临时调整域名(访问后跳转至新域名):
http://dlzxg7eygo5ld5vsmsjzdlnxwvqcy3acicftkyyca4pyx6t7wirpw4qd.onion
这个暗网最大的中文诈骗网站一开始自称“正版中文担保交易市场“,在本站(anwangxia.com)多次曝光后,于2024年更名为“华人自己的暗网担保交易市场”,后“暗网下/AWX”又跟踪曝光报道,该诈骗网站于2025年更名现在的名称:“联合中文担保交易集市”。但不管名称为什么,这只是用开源程序Wordpress搭建的一个小博客网站而已,并非一个真实的暗网市场。
访问该诈骗网站,可见电商模块使用Wordpress的WooCommerce插件进行配置,”我要买“区域的”实体物品“、”虚拟物品“以及”服务“均为虚假商品,”我要卖“区域的”开新店费用“、”上架两件以上商品费用“、”广告费用“以及”超标图片费用“也是假的,所有的一切均为了让傻子给他转账BTC。
”互动空间“页面的内容为其管理员定期更新的诈骗话术,例如今年2月9日发布一条对答话术:”感谢上天让我重获新生!感谢百万项目!“:
qianyun:我是前面的那个穷学生,入手百万十天了。撸了网贷,其实我是大学辍学,打过好几份工了一事无成。父母的积蓄也没多少了。就是一种被世界遗弃的感觉。幸好我遇到了这个网站坚定的购买了百万,即使父母反对我也必须赌一赌。事实证明我赌对了。上天总算给我开了一扇窗。感谢帮过我的所有人,感谢网站管理员也感谢百万团队,我一定好好珍惜这次的机会,这也是我唯一的机会了
wangsir:年前就想做了,初五了,年过得差不多了,明天我就入手。
123le2:上天会眷顾有准备的人,即使遇到再多困难,只要选择对了一次就能翻身。在这里就是这样的。
hargrove:@qianyun 我真的信了你是大学生……现在大学生眼神都挺清澈的。
ca47liu:老牌项目值得信赖的,加入了的人都会感谢,改变何止是一点点,简直就是金手指。
ns1994:哈哈哈,刚开始玩都是很兴奋的,突然钱来得那么容易。慢慢就习惯了,一个月几十万是正常收入。加油吧小兄弟。
相信许多暗网小白看到上面的话术,都会信以为真,可这只是这个诈骗网站最常规的常规诈骗话术而已。不是骗子多聪明,而是傻子足够笨。今年愚人节,2026年4月1日,该诈骗网站的管理员又有模有样地发布了一条招聘公告——”聘请轮岗人员“:
因业务拓展人手不足,需聘请工作人员数名,线上全职工作,永不见面不得询问及透露个人隐私。一天工作10小时,工作时间安排在24小时任何时间段都有可能,一个月休7天,待遇优厚,有门槛,有意向者请站内信联系管理员admincn。
骗子觉得傻子太傻了,所以选择在愚人节发布这条公告,这其实也是新的诈骗话术,试图让不明真相的傻子觉得该诈骗网站业务繁忙。而事实上,这个诈骗网站没有真实业务,根本不会需要所谓”工作人员“。
总而言之,“暗网下/AWX”郑重提醒,请远离暗网,远离骗子!
更多暗网新闻动态,请关注“暗网下/AWX”。
本站第11次曝光:暗网反诈骗:最大的中文暗网诈骗网站“联合中文担保交易集市”,已经发布“双十一”诈骗话术
本站第10次曝光:暗网反诈骗:最大的中文暗网诈骗网站“华人自己的暗网担保交易市场”,再再次更换名称,更换洋葱域名
本站第9次曝光:暗网反诈骗:中文暗网最大的诈骗网站——“华人自己的暗网担保交易市场”,春节期间大肆行骗
本站第8次曝光:暗网反诈骗:本站多次曝光的“华人自己的暗网担保交易市场”,再次更换洋葱域名继续行骗
本站第7次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光6次的“正版中文担保交易市场”,终于改了网站名称
本站第6次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光五次的“正版中文担保交易市场”,新年又更换了暗网域名
本站第5次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光四次的“正版中文担保交易市场”,再次更换暗网域名
本站第4次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站曝光三次的“正版中文担保交易市场”,再次更换暗网域名
本站第3次曝光:暗网反诈骗:曝光暗网中的诈骗网站,本站两次曝光的“正版中文担保交易市场”,又更换暗网域名了
本站第2次曝光:请注意,本站曝光过的某暗网中文担保交易市场已经更换暗网域名,又新增多位网友被骗
本站第1次曝光:曝光某暗网中文担保交易市场,实为诈骗网站
近期Indra的BreachForums出现了运营崩溃以及所谓的“退出骗局”后,一个名为PwnForums的新暗网论坛应运而生,该论坛一出生即王炸。前几天刚刚人肉了原BreachForums管理员“N/A”的真实身份,随后又发布了其主要竞争对手暗网论坛DarkForums的论坛数据库。可怜的DarkForums遭遇了严重的“背刺”——其大量用户的真实IP地址惨遭泄露,匿名神话再次破灭。
雨后春笋:新成立的暗网论坛PwnForums PwnForums被确认为一个新成立的独立论坛,据称由Indra版本的BreachForums的前版主和资深成员创建。虽然它声称与之前BreachForums的管理团队没有官方联系,但其领导层构成表明,无论在运营还是社区结构方面,都保持着一定的连续性。
该暗网论坛在功能和用户群方面定位为BreachForums的直接继承者,旨在恢复中断的活动,并为威胁行为者提供熟悉的环境。PwnForums声称拥有截至2026年3月28日原BreachForums更新的历史主题、帖子和用户数据库。
PwnForums的出现凸显了网络犯罪领域一个反复出现的模式:一个平台倒下后,另一个平台会迅速崛起取而代之。凭借继承的信任、现有的用户凭证以及声称拥有的历史数据访问权限,PwnForums 作为数据泄露和网络犯罪分子协作的重建中心,构成了重大风险。
PwnForums的明网域名:pwnforums.[]st
PwnForums的暗网域名:pwnfrm7rbf6kyerigxi677lcz5ifmoagdbqqknwdu2by27wfdst5qmqd[.]onion
内战升级:PwnForums大战DarkForums 4月15日,PwnForums的管理员john在其论坛发布主题:“DarkForums · 420k rows · Posts/Users/IPs”,帖子称“PwnForums社区的各位好,在整倒了N/A之后,我们想向大家介绍由一个名为“Knox”的Pajeet运营的DarkForums(顺便提一句,此人正在出售其用户数据) 我们利用了一个myBB漏洞,从而提取了用户数据。”具体用户数据如下(字段:用户名、IP、主机名、错误、帖子):
~ 427,000 条记录,涵盖帖子 ID 0 至 442,200,每条记录将帖子 ID 与用户名、IP 地址和主机名关联起来。 ~ 44,300 名唯一用户的 IP 地址被泄露。 ~ 78,000 个唯一 IP 地址。 ~ 19,300 次通过 Tor 节点建立的连接。 ~ 15,200 次通过 VPN/主机服务商建立的连接。 ~ 97,400 条包含住宅主机名的记录(真实的个人 ISP)。 ~ 168,400 条无主机名的记录(仅 IP 地址,无反向 DNS)。 ~ 122,700 条错误记录(67,000条已删除帖子,43,000次超时,7,500次访问被拒)。 john在帖子中说:“您愿意在一个已禁用洋葱服务的论坛上发帖吗?您愿意在一个已将大量 Tor IP 地址列入黑名单的论坛上发帖吗?您愿意在这样一个论坛发帖吗?该论坛不仅记录用户最近一次登录和注册时的IP地址,还记录他们曾在DarkForums发帖时使用的IP地址。”
在暗网的世界里,真实IP地址就是威胁行为者的命门。DarkForums此前一直标榜其平台的安全性和对用户隐私的极致保护,但此次泄露直接撕掉了这层伪装。根据泄露的数据样本显示,其中包含了大量与恶意软件分发、勒索软件协作相关的活跃账号信息。
从技术层面分析,这次泄露极有可能是因为DarkForums的服务器配置存在漏洞,或者由于myBB程序存在0day漏洞导致论坛权限被竞争对手渗透所致。但无论什么原因,当攻击者能够直接获取并公开用户的真实访问日志时,所谓的Tor匿名保护就彻底失效了。
“暗网下/AWX”认为,这不仅仅是一次简单的数据库失窃,更像是暗网论坛之间为了争夺“流量”与“权威”而进行的毁灭性打击。
渔翁得利:全球执法部门和安全研究机构大丰收 此次泄露的影响远超表面,由于许多攻击者在访问论坛时并未能完美地隐藏其真实出口,泄露的IP地址直接指向了他们所使用的VPS服务商、甚至是个人的家庭宽带出口。对于全球执法部门和安全研究机构来说,这无疑是一笔巨大的情报财富。通过对IP地址进行溯源,可以准确定位目标从而获取网络犯罪分子的真实身份。
这起事件再次提醒了那些游走在法律边缘的人:在技术对抗的最高维度,没有绝对的避风港。当暗网论坛开始通过曝光对方用户老底来进行“商业竞争”时,整个地下生态的信任基础正在加速瓦解。对于安全从业者而言,这一定是一个追踪高价值威胁组织(APT)或勒索软件团伙的关键突破口。
“暗网下/AWX”曾报道,在今年一月底FBI摧毁臭名昭著的RAMP论坛之后,一个允许交流勒索软件的新暗网论坛T1erOne悄然诞生,并宣称自己是RAMP论坛的替代品,为从事交易被盗数据、协调勒索软件攻击以及分发恶意软件的网络犯罪分子提供交流平台。只不过发展几个月后,该论坛人气依旧不愠不火。
为了吸引更多人访问,暗网论坛T1erOne诚邀对访问T1erOne感兴趣的研究人员加入。现在研究人员可以直接在该论坛上(tier1[.]life/register)注册为研究人员,研究人员账户享有特殊的有限访问权限。
除此之外,近日,该论坛还宣布了一场黑客征文大赛,旨在吸引全球顶尖的黑客和安全研究员分享他们的“实战干货”。该活动由1万美元(约合 7 万人民币)奖金支持,作为总奖金池,让人得以一窥这些暗网空间中知识共享和奖励的方式。
然而,这次竞赛引入了一种不同的动态,它类似于合法的网络安全生态系统,在那里研究人员记录发现并分享漏洞利用技术。根据论坛管理员发布的官方公告,帖子内容为:“大家好!我们很高兴宣布 T1erone [ARTICLE CONTEST #1 – 2026]。竞赛获胜者将获得奖金:第一名 – 5000美元,第二名 – 3000美元,第三名 – 2000美元,[总奖金池 10000美元]。文章提交从2026年4月13日开始,到2026年5月14日结束。”
该公告显示,这场暗网文章竞赛将于2026年4月13日至2026年5月14日举行,奖金金额奖金设置非常诱人:第一名5000美元、第二名3000美元、第三名2000美元,总奖金池为1万美元,据称由cry0勒索软件赞助。
黑客征文大赛征集高质量的黑客攻击技术文章、新型漏洞利用(Exploits)以及网络渗透技巧,邀请网友提交涵盖广泛高级主题的文章,这些主题包括:
通过React和Node.js中反配置缺陷实现的远程代码执行(RCE)。 对API和后端系统的命令注入攻击。 SaaS平台中的不安全直接对象引用(IDOR)漏洞。 现代模板引擎中的服务器端模板导入(SSTI)。 PHP和Java中的不安全反编译利用。 通过Markdown或Office文件渲染实现的客户端代码执行。 针对路由器和摄像头的固件攻击。 RouterOS及类似系统中的权限提升技术。 来自Cisco、MikroTik、Oracle和Ubiquiti产品的利用方法。 浏览器组件(如WebGPU和Blink)中的零日发现。 AI辅助的漏洞发现和逆向工程。 绕过AV和EDR安全系统的技术。 远程过程调用(RPC)机制的利用。 就背景而言,诸如RCE、IDOR和SSTI等漏洞允许攻击者执行任意代码或访问受限数据,而固件攻击则允许对硬件设备进行持久控制。同样,AV/EDR绕过技术旨在规避现代安全解决方案的检测。
T1erOne论坛为参与者制定了严格的指导方针。文章必须发布在指定的论坛板块,并包含特定前缀才能符合资格:提交必须发布在Articles板块,并带前缀“[Contest]”。文章链接必须在竞赛线程中分享,并附上参赛说明。
所有用户均有资格参与,无论注册日期或活跃度如何。严格禁止使用多个账号。此外,竞赛执行内容质量标准:文章必须原创,并基于作者的个人经验。提交内容必须全面涵盖所选主题,包括工具、技术和方法论,包含演示视频可能会提高获胜机会。最低长度要求至少为一页A4纸。不允许复制或转载材料,不鼓励过度使用填充内容。
尽管此类比赛在暗网论坛(如XSS, Exploit.in)其实有着广泛传统,2023年XSS论坛曾宣布举办[XSSware]软件项目竞赛,奖金2万美元。但T1erOne此次明确要求“编写 Exploit”作为核心评估标准,这意味着他们不仅是在收集知识,更是在筛选具有实战杀伤力的工具。对于安全工程师来说,这通常预示着在接下来的几个月里,可能会有新型的攻击手段或未公开的0-day漏洞利用方式从该论坛流向交易市场。
此类竞赛的存在可能令人惊讶,但它标志着暗网论坛内的一个更大趋势。除了非法市场和数据交易之外,这些平台还充当技术交流中心,会员们在这里记录和完善漏洞利用技术,关键区别在于知识应用的意图和背景。
本文只是揭示这些暗网生态系统的运作方式,“暗网下/AWX”不提倡参与此类活动,遵守法律是基本行为准则。
更多暗网新闻动态,请关注“暗网下/AWX”。
根据PwnForums论坛发布的耻辱墙公告以及X账号@IntCyberDigest的爆料,社交媒体和黑客社区的不同消息来源将保加利亚网络安全专家Angel Tsvetkov与BreachForums的管理员联系起来。BreachForums是买卖被盗数据的主要平台之一,当前主要有三个版本的BreachForums在运营,这里所指的BreachForums是Indra版本的BreachForums。
2026年3月15日,Indra的BreachForums暗网论坛突然无法访问,身份不明的管理员选择关闭了该网站,后来证实这是一起退出骗局。不过,当时网络反情报威胁调查联盟(CCITIC)声称对此事负责。
在Indra的BreachForums论坛关闭了十天后,论坛管理员之一“N/A”使用今年2月份的备份,通过新的域名BreachForums[.]sb重新启动该论坛,这次使用的管理员新化名是“Caine”。两天后,其他工作人员确认Caine就是之前卷款跑路的那个人,之后整个管理团队选择集体辞职。由于没有版主,“N/A”再次尝试出售该论坛的基础设施,此后大概是被DarkForums的Knox买走。
PwnForums称,这并非“N/A”首次犯案,在他担任管理员期间,“N/A”一直通过二级账户进行托管诈骗,兜售他并不拥有的数据库,收取款项却不交付任何产品。他还拖欠与他达成协议但从未履行义务的各方款项。
事件发展的时间线 2026年3月15日:BreachForums论坛无法访问,后经内部讨论,被描述为管理员主导的破坏活动。 2026年3月25日:据报道,BreachForums以“Caine”的化名重新启动,据称使用了之前的备份。 2026年3月27日:管理团队声称“Caine”和“N/A”是同一个人,整个管理团队集体辞职。 3月27日之后:据称管理员试图转移或出售论坛控制权。 被暗网论坛PwnForums钉上耻辱墙上的N/A究竟是谁 PwnForums已确认N/A为安吉尔·茨韦特科夫 (Angel Tsvetkov),他是一名保加利亚网络安全专家、渗透测试员和漏洞赏金研究员,拥有渗透测试和漏洞研究背景。他以其在识别和负责任地披露全球主要平台漏洞方面的工作而闻名。他在HackerOne和Intigriti等平台上享有盛誉,曾报告过影响大型企业的漏洞。他的工作主要集中在Web应用程序安全、漏洞发现和对抗性测试方面。
PwnForums称,Angel Tsvetkov是一位认证的道德黑客,HackerOne会员,曾因负责任的信息披露而获得哈佛大学、福特汽车公司、博世、BBC和OLX等多家企业机构的致谢,并曾荣获新闻媒体BBC和安全公司ESET的多项嘉奖。
然而,他表面上是一名白帽黑客,实际上却运营着最大的数据交易论坛,他同时是暗网论坛BreachForums的管理者,对论坛用户进行托管诈骗,两次卷款潜逃,并试图出售一个并非属于他的论坛。事实证明,道德黑客“负责任的信息披露”是有选择性的。
真实身份是如何关联出 PwnForums称,该归因得到了许多技术证据的支持,例如个人帐户和非法活动之间重复使用IP地址和登录密码,并得到@IntCyberDigest等X用户的认可。
从邮箱进行关联,Angel Tsvetkov一个常用的匿名邮箱为[email protected],常使用用户名SecPentester1337与secpente123,在RaidForums、Cracked.to、Dedicatet.com和Altenen等多个网络犯罪论坛注册了账号,填写的出生日期为1993年1月28日,另外在RaidForums论坛上还有一个用户名Vojilion9292与同一邮箱关联。
此外,[email protected]邮箱还关联了一个Twitter账号,注册于2018年9月29日,账号名为“Peter”,用户名为@Peter00111Peter,所在地为保加利亚,个人简介为:“渗透测试/漏洞猎手/道德黑客”。此人在多个正常论坛上使用多个名字,所有名字都与同一个电子邮件地址关联,所有地址都指向保加利亚普罗夫迪夫。
从密码进行关联,N/A的论坛账户密码被破解出来是“Awdawd123!”,然而有趣的是,Angel Tsvetkov个人网络安全咨询公司的官方商务邮箱[email protected]也反复使用同一个密码。
PwnForums感叹,这位获得认证的道德黑客、HackerOne会员、曾为多家机构提供密码安全咨询的人士,竟然在犯罪论坛账号和自己的商务邮箱中重复使用同一个密码。
从IP进行关联,N/A曾使用过的IP地址中有一个是78.130.187.42,该IP地址曾用于登录RaidForums和Cracked等论坛,该IP地址的地理位置位于保加利亚普罗夫迪夫。
无语的是,N/A曾联系PwnForums吹嘘其在该论坛植入后门并上传了一个名称为nike-sh.txt的文件,后该论坛管理员查看nike-sh.txt的访问日志,有且仅有一个IP:78.130.187.42,PwnForums认为Angel Tsvetkov通过自己的家庭IP地址访问了这个文件。
道德黑客Angel Tsvetkov驳斥了这些指控,称其“不实” 然而,保加利亚网络安全专家安吉尔·茨韦特科夫(Angel Tsvetkov)在接受采访时,断然否认了有关他是知名网络犯罪论坛BreachForums管理员的指控。茨韦特科夫称,散布的数据“是虚假的,而且极具破坏性”,并声称这些数据是基于“来自与网络犯罪相关的来源的未经证实的说法”。
当被直接问及他与该平台的所谓关联时,这位道德黑客坚称他没有参与BreachForums论坛的管理或运营,并否认拥有与网络犯罪活动相关的账户或化名。他表示:“我与相关人员没有任何关系,也从未在这些论坛担任过管理员或任何类似职务。”
关于他的身份与网络安全社区内这些活动之间的关联,这位专家指出,他并不清楚第三方是如何在未经授权的情况下使用他的数据的,并澄清说他目前正在分析情况。“我不知道第三方是如何在未经我授权的情况下在这个论坛上使用我的身份和数据的,”他表示。
这位专家在最初的沟通中坚称,已发布的信息“并不反映现实”,并警告说,信息的传播可能会产生影响。
“由于这篇文章的发表,有关我的虚假信息正在传播,执法部门和其他第三方也能看到这些信息,”他指出。
德国联邦刑事警察局(BKA)近期发布重磅消息,正式公开了长期隐藏在幕后的俄罗斯勒索软件巨头“UNKN”的真实身份。31岁的Daniil Shchukin被指控在2019年至2021年间策划了至少130起针对德国企业的计算机破坏与勒索行动。作为两个暗网勒索软件团伙GandCrab和REvil的灵魂人物,他不仅开创了“双重勒索”(Double Extortion)这一流毒无穷的商业模式,更带领团队在短短几年内敛财数十亿美元。
德国卡尔斯鲁厄检察院(网络犯罪中心)和巴登-符腾堡州刑事警察局称:
丹尼尔·马克西莫维奇·舒金因涉嫌组织多起针对企业、公共机构和其他组织的有组织商业勒索软件勒索案而被国际通缉。至少从2019年初到2021年7月,他与其他同伙领导着全球最大的勒索软件团伙之一——GandCrab/REvil。犯罪分子索要巨额赎金以解密数据并阻止数据泄露。在某些情况下,他们还会大规模入侵数据,并威胁称,如果未支付赎金,就会将数据公之于众。
此次德国警方的“开盒”行动,不仅是法律层面的追责,更是对俄罗斯勒索软件避风港的一次有力反击。虽然Shchukin和同伙Kravchuk目前极有可能仍潜伏在俄罗斯境内,甚至可能受到了某种程度的“默许保护”,但BKA的这份通缉令意味着他们已彻底失去了在全球范围内洗钱和出行的自由。
UNKN是一位现年31岁的俄罗斯黑客,也是双重勒索的鼻祖 在网络安全界,“UNKN”(也称Unknown)曾是一个令人闻风丧胆的代号。他是俄罗斯勒索软件生态系统中最具影响力的核心人物之一。然而,根据BKA官方通缉页面披露的细节,这位曾不可一世的黑客真名叫作Daniil Maksimovich Shchukin(丹尼尔·马克西莫维奇·舒金),现年31岁。
德国警方调查发现,Shchukin与其43岁的同伙乌克兰裔俄罗斯公民Anatoly Sergeevitsch Kravchuk,在2019年到2021年这三年的黄金作案期内,犯有130项有组织商业勒索罪,通过精心设计的网络攻击,仅通过25起案件就直接敲诈了近200万欧元的赎金。但这只是“冰山一角”,据BKA估算,仅在德国境内,他们造成的直接经济损失就超过了3540万欧元,受害者涵盖了大量中型企业和公共机构。
如果要问Shchukin对勒索行业最大的“贡献”是什么,那无疑是他首创的“双重勒索”策略。
在早期的勒索软件时代,黑客只是单纯加密受害者的文件,受害者付钱拿密钥。但随着备份技术的普及,很多企业选择拒绝交钱。而UNKN领导的团队改变了逻辑:在加密之前,他们会先利用脚本静默窃取受害者的机密数据(Exfiltration)。
这意味着,即使你有备份,如果你不付钱,他们就会在名为“HappyBlog”的泄露站点上公开你的商业秘密和员工个人隐私。这种“不交钱就社死”的手段,直接将勒索的成功率提升到了一个新的维度。
勒索从未停歇,从GandCrab过渡到REvil 暗网勒索软件团伙GandCrab最早于2018年初出现,最初通过包含恶意附件的垃圾邮件传播。GandCrab在2019年宣布“金盆洗手”时,曾嚣张地宣称他们已经勒索了超过20亿美元。但这只不过是一次拙劣的品牌重塑(Rebranding)。
GandCrab消失后不久,REvil(又名Sodinokibi)便以几乎相同的底层代码架构高调亮相。REvil迅速成为全球最具攻击性的勒索软件组织之一,并在2021年被瓦解。其受害者包括Lady Gaga的律师事务所、美国总统唐纳德·特朗普等知名人士以及美国软件提供商Kaseya等大型公司。
Shchukin被认为是这两个组织的共同头目。他通过RaaS(Ransomware-as-a-Service,勒索软件即服务)模式,将网络攻击规模化。他提供恶意软件平台,招募全球的“盟友”(Affiliates)去入侵企业,最后双方按比例瓜分赃款。这种模式直接降低了技术门槛,导致2020年左右全球勒索攻击频率呈指数级上升。
从2019年至2021年那段疯狂的时期,这两人利用复杂的混淆技术(Obfuscation)和加密货币洗钱网络躲避追踪。2022年,俄罗斯联邦安全局(FSB)宣布逮捕了14名涉嫌REvil成员,但此案的法律程序进展缓慢。仅有8名嫌疑人在莫斯科出庭,面临与非法金融交易相关的指控,而庭审也多次延期。2024年,Sodinokibi/REvil的关联黑客24岁的乌克兰公民雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi,又名Rabotnik)因参与7亿美元勒索软件计划而被美国判刑。
如今,随着多国执法机构的协作,这些曾经的数字幽灵正在逐一显形。在此,“暗网下/AWX”告诫勒索软件团伙:在网络安全世界里,没有永远的匿名与隐身。无论使用了多么复杂的代理、VPN或者加密手段,只要在物理世界留下了痕迹,天网恢恢,疏而不漏,正义的审判迟早会到来。
BreachForums论坛是一个为黑客及网络犯罪分子提供买卖被入侵数据库、黑客工具以及分享网络犯罪知识的暗网平台。与BreachForums论坛相关的各种戏剧性事件层出不穷,而且愈演愈烈。尽管屡遭执法部门的打击,偶尔还会发生内部冲突,但专注于买卖数据泄露的论坛仍然不断涌现。
“暗网下/AWX”梳理了近期Indra的BreachForums的变迁,在其关闭BreachForums之后,BreachForums[.]sb经过了几轮变化,先是被@Caine持有并继续运营,之后该论坛的管理团队集体退出。后明网域名BreachForums[.]as与BreachForums[.]sb被DarkForums的Knox买走,而据称是冒牌的Shinyhunters又开设了一个新明网域名BreachForums[.]ai来运营新版本的BreachForums。
Indra的BreachForums的工作人员集体辞职 @paw(@pine)在BreachForums[.]sb发布公开声明表示,BreachForums[.]sb的6名工作人员(@pine、@Loki、@888、@Tanaka、@paw、@Addka72424)已辞职,并声明:“请勿信任任何新出现的或现有的克隆站点,BreachForums这个名字已经不复存在,且永远不会回归。”
对此,在Telegram上假冒Shinyhunters的管理员@Caine声称,旧论坛的工作人员退出,是因为“勒索”。这些版主要求以1000美元的门罗币作为报酬,以补偿他们所做的一切工作。在被他拒绝后,他们选择了离开。而论坛将会组建新的工作人员团队。
BreachForums[.]as与BreachForums[.]sb显示了新的提示信息 “暗网下/AWX”尝试访问BreachForums[.]as与BreachForums[.]sb这两个明网域名,两个网站均显示相同的界面UI风格,一眼可以看出显然属于同一个所有者。
BreachForums[.]as网站展示了BreachForums[.]sb的明网域名与暗网域名:
BreachForums[.]sb则称,BreachForums现已完全由Knox(knox.hn)掌控。所有数据(包括最新的数据库和源代码)均已得到妥善保管。不再有混乱和诈骗,不再有不确定性——一切现已实现集中管理。请勿信任任何克隆站点。并提供了Telegram联系方式。
上周重启的一个新BreachForums论坛 周一,一名自称是勒索组织ShinyHunters成员的人宣布重启运营一个新的的BreachForums论坛(BreachForums[.]ai)。但一位与ShinyHunters官方频道有关联的人士表示,该组织与BreachForums的任何重启都毫无关系。他们表示:“我们与那个论坛没有任何关系。自从2025年10月10日被FBI查封后,我们就再也没有重启过它。”
本周重启的BreachForums论坛是“暗网下/AWX”前期介绍的Indra的BreachForums论坛的延续,上个月,Indra的BreachForums论坛的“基础设施,包括完整的数据库和源代码”,被“直接从其托管服务器”黑客入侵,并以1万美元的价格出售。新BreachForums论坛管理员(化名“x”)表示,前任管理员“N/A”得知此事后“惊慌失措,带走了能带走的东西,然后立即离开,没有通知社区”,之后“数据库就落入了不明人士手中”。
这一惊慌失措的说法似乎指的是3月16日发布在论坛旧版本上的一条公告,该公告宣布“BreachForums已死”,并正在寻找新的管理团队。公告表示:“我们现在正在寻找一位负责任的个人或团体,愿意接管论坛的领导权并继续提供支持。”
除了ShinyHunters的官方否认之外,安全研究人员还详细列举了“x”的说法中的矛盾之处,暗示其内容不实,并表示一些合法的BreachForums前运营者似乎正在注册多个BreachForums域名,以阻止类似的重启声明出现。
ShinyHunters表示,此次重启是利用先前泄露的数据发起的一系列BreachForum虚假论坛中的最新一起。该组织的一名成员说道:“其他威胁行为者能够恢复一个外观相似的合法论坛,包括重新导入旧用户数据,其中也包括我自己的ShinyHunters账户。”
IntelOpsV3称冒牌SH推出的BreachForums论坛又是一个冒牌货 暗网情报研究者@IntelOpsV3称,在Indra关闭其BreachForums并实施“卷款跑路”的时候,一个冒牌的SH(Shinyhunters)带着另一个冒牌的BreachForums(BreachForums[.]ai)出现了。于是,几乎在同一时间,至少有3个一模一样的网站,都声称自己是真正的BF。但不知道这些所谓BreachForums能运营多久。
新BreachForums论坛使用了暗网域名:http://c66go4clkqodr7tdjfu76jztjs7w7d3fajdeypxn73v4ju3dt7g5yyyd[.]onion
@IntelOpsV3提醒,其正在密切关注所有新的BF克隆站点,请谨慎对待所有这些新克隆站点。因为原BreachForums的PGP密钥、网站代码和数据库都已泄露,是时候让Breachforums这个名字长眠了。
@IntelOpsV3称,这是新的BF团队,可以看到他们在TG上假扮成“Shinyhunters”,他们声称自己是唯一的正宗BF,他们还发布了一则警告,称其他克隆站点均为假冒。这个新冒出的BreachForums克隆站点由doxeur、kiroshell和breach3d所有。breach3d就是那个发布假Dell数据库的冒牌Shinyhunters。
但可惜的是,SLSH已经发布了BFv5数据库,并指认他们是冒牌货。真正的SLSH称:“目前所有的论坛都是假的 [ .sb .ac .fi .bf .us 等],如果它们继续存在,我们将泄露所有BF的备份。因为我们掌握了所有MyBB 1.8版本的漏洞利用代码。”
@IntelOpsV3称,这个论坛是假的。这个论坛的ShinyHunters是个冒牌货。他们冒充IntelOps、Pine、Loki等组织,正如你们从我们的推特帖子中看到的,这个论坛里充斥着各种角色扮演。
BreachForums[.]ai的管理员“x”发布公告驳斥@IntelOpsV3 BreachForums[.]ai的管理员“x”于4月2日发布公告进行回应,并澄清该论坛的现状。“x”表示,他们没有导入旧BreachForums的SQL数据库,并不意味着他们是蜜罐(honeypot)或退出骗局(exit scam)。他自称这是一个全新的开始,这是BreachForums的官方延续。并请大家在做出假设前,先进行适当的研究,不要基于不完整的信息下结论。
公告表示,他们理解大家的怀疑,但事实不会改变。一旦论坛完全开发并稳定下来,他们将对克隆站点采取行动。“x”称,一些来源(如 Twitter 上的 IntelOps (@intelopsv3))散布了虚假信息,声称其是退出骗局。这些说法是错误的。IntelOps有历史性地不经查证就发布信息,并经常误报或歪曲细节。
“x”称,他们鼓励大家保持信息灵通、核查事实,并避免匆忙下结论。他们不是蜜罐/退出骗局。
公告表示,如果是蜜罐,他们会尝试修改MyBB源代码来尽可能记录用户的信息。相反,他们移除了IP记录,并用自定义构建的垃圾邮件预防系统取而代之。即使FBI或任何执法机构查封后端服务器也找不到任何有用的东西。
“x”宣称自己的VPS是完全加密的,用户的隐私是优先事项。
SLSH冒牌者究竟是谁 独立安全研究人员Ryan Moran(@rmoskovy)表示,在对这位自称“ShinyHunters”冒牌者进行分析时,我使用一个假账号通过Telegram向其发送消息,声称需要向“Rey”(一名与SH/SLSH有关联的威胁行为者)偿还一大笔钱,并要求对方提供“Rey”的联系方式。
然而,对方非但没有提供“Rey”的联系方式,反而要求@rmoskovy直接向其汇款。当进一步追问时,对方发来了一个拼写错误的账号,该账号是“Rey”真实用户名的拼写变体:
2026-02-26 -> Qilin 2026-02-26 -> Rey 2026-02-20 -> Qiliin 2026-01-24 -> XiaoBtc ( MBTC ) 2025-12-24 -> MBTC 2025-12-24 -> Crimesite 2025-11-08 -> Bjorka 2025-11-04 -> NinjaBoi6890 2025-10-31 -> SkyHunters 2025-10-25 -> Asley 2025-09-10 -> Kimbo 2025-06-09 -> Bebale Office 2025-05-15 -> Lesley
最近几天,网络安全圈和暗网监控平台纷纷爆出猛料,长年盘踞在俄罗斯网络犯罪头部的XSS论坛(原xss[.]is)在被国际联合执法行动打击数月后,正在开始一场大规模的基础设施迁移。暗网监控账户Daily Dark Web和Dark Web Informer相继在社交媒体X上发布预警,指出臭名昭著的俄罗斯暗网论坛XSS已经开始引导用户访问其新明网域名XSS[.]ac,并同步更换了暗网域名。
作为一个从2013年就开始活跃的老牌社区,XSS的前身是著名的 DaMaGeLaB。根据维基百科XSS.is条目的介绍,它不仅是黑客们交流漏洞、买卖 0-day 的地方,更是勒索软件(Ransomware)开发者寻找合作伙伴、招募分销商的核心枢纽。
2025年7月,“暗网下/AWX”曾经报道,法国警方与乌克兰同行和欧洲刑警组织合作逮捕了XSS[.]is的其中一名主要管理员,并查封XSS[.]is主域名。然而,执法行动并没有摧毁XSS[.]is包括服务器在内的基础设施,其在俄罗斯的庇护下依然活着,备用明网域名XSS[.]as与.onion网站依然可以访问。
基础设施迁移背后的技术博弈 在被执法机构打击后,在过去的几个月里,XSS论坛的基础设施一直处于不稳定的状态,XSS论坛的管理员一直在试图优化其反爬虫和反 DDoS(分布式拒绝服务攻击)策略。
正如“暗网下/AWX”曾介绍,XSS论坛在被警方打击后,虽然XSS[.]is域名显示了查封通知,但备用明网域名xss[.]as、.onion网站(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)和位于thesecure[.]biz的Jabber服务仍在线运行。对于这种级别的网络犯罪枢纽,保护后端数据库的安全性是重中之重,因为后端基础设施被警方掌握,所有未加密的私信和交易记录都可能成为抓捕黑客的铁证。
更换全新的明网域名、暗网域名,也许是为了保护后端基础设施的安全,这反映了网络犯罪团伙为维持韧性并规避干扰所做的持续努力。
经本站(anwangxia.com)测试,目前,其原先的明网域名XSS[.]as、暗网域名(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)均无法正常访问,仅可使用全新域名进行访问。
经查询Whois信息,新的明网域名XSS[.]ac注册于2016年3月10日,ac域名是英国海外领土阿森松岛的顶级域名(TLD)后缀。目前, 新明网域名XSS[.]ac使用了云服务商Cloudflare的解析中转服务。新的暗网域名几乎同一时间推出,域名为:https://xssac4uqtauxumkktnp3knz2ag7qcb3efmb66mokjg5fcqhzvilgwfid[.]onion
XSS未来能否继续活在俄罗斯的庇护下 虽然XSS试图通过更换域名来“续命”,但现实情况并不乐观。随着国际执法合作的加强,尤其是针对暗网基础设施的协同打击,这类论坛的生存空间正在被极限压缩。尽管有传言XSS论坛在俄罗斯的庇护下才能发展如此壮大,但有Leakbase的前车之鉴在,也许俄罗斯该打击还是要打击。
另外,在黑客圈子里,信任是比比特币更珍贵的货币。频繁的宕机、域名的临时变更,以及关于管理员可能被“渗透”的传言,正在让XSS的核心用户流向其他新兴平台,比如DamageLib。如果XSS无法证明其新域名的安全性,或者在基础设施管理上继续表现出疲态,这个曾经的“黑客圣地”很可能会步其前辈的后尘,最终走向崩塌。
更多暗网新闻动态,请关注“暗网下/AWX”。
在美国和欧洲执法机构对大型在线数据交易平台LeakBase进行全球执法打击数周后,俄罗斯执法部门逮捕了LeakBase的一名管理员。
俄罗斯内政部周三表示,俄罗斯内务部安全局官员与罗斯托夫州警方合作,逮捕了南部城市塔甘罗格的一名居民,该居民涉嫌创建并运营着一个规模庞大的国际黑客平台。在长达四年的时间里,该平台被用于交易被盗的个人信息数据库。在搜查被拘留者的住所时,查获了电脑设备和其他具有证据价值的物品。
俄罗斯内务部发言人伊琳娜·沃尔克表示:“根据现有信息,该平台托管了数亿条被盗用户记录、银行信息、登录名和密码,以及通过黑客攻击获取的公司文件。超过14.7万名在该论坛注册的用户能够买卖这些数据,甚至利用这些数据对公民实施诈骗。”她补充道:”俄罗斯内务部莫斯科总局侦查总局的一名侦查员已根据俄罗斯刑法第272.1条第3款和第6款立案调查。被告已被还押候审。“
俄罗斯内务部发言人伊琳娜·沃尔克没有透露该平台的名称,但俄罗斯国家通讯社塔斯社援引执法部门消息人士的话称,该平台名为LeakBase。该通讯社的消息人士称,这名被拘留的塔甘罗格居民涉嫌运营“最大的国际黑客平台之一LeakBase”。
俄罗斯联邦司法部公布的视频显示,俄罗斯执法人员在嫌疑人汽车附近将其拘留,并在一个车库内对其进行讯问,车库内存放着据称与此次行动有关的电脑硬件。
目前尚不清楚俄罗斯当局是否与西方执法部门协调了此次逮捕行动。在莫斯科于2022年入侵乌克兰后,欧洲刑警组织暂停了与俄罗斯的合作。
LeakBase网络犯罪论坛已运行4年 LeakBase于2021年上线(但直到2023年3月才火起来),是一个基于订阅的网络犯罪数据库交易平台,已成为网络犯罪生态系统中的关键枢纽,专门交易泄露的数据库和包含被信息窃取恶意软件窃取的凭证的“窃取日志”。该论坛以英语公开运营,集市场和讨论功能于一体,允许网络犯罪分子买卖和交换包含被盗凭证、个人信息和其他敏感记录的数据库的权限,一些会员甚至花费数百美元购买了该平台的高级访问权限。
该论坛上发布的许多数据都是通过非法入侵政府系统和美国公司获得的。据欧洲刑警组织称,该论坛的一项内部规则禁止出售或发布与俄罗斯有关的数据。
LeakBase于本月初被查封 3月初,美国联邦调查局查封了网络犯罪论坛LeakBase,此次行动是“泄密行动”(Operation Leak)的一部分,这是一项由欧洲刑警组织协调的国际行动,来自14个国家的执法机构参与其中,全球执法机构开展了协同行动,包括逮捕、搜查住所。据美国当局称,联邦调查局与欧洲合作伙伴合作,在十几个国家对45名嫌疑人实施了100多项执法行动。
此次行动查封了该论坛使用的多个域名,并关闭了位于荷兰和马来西亚等国的托管基础设施。作为打击行动的一部分,当局将该网站的域名重定向到由美国联邦调查局控制的服务器。
欧洲刑警组织通过绘制论坛基础设施图、分析用户活动、跨国关联嫌疑人、受害者和证据,为此次行动提供了支持。位于海牙的欧洲刑警组织总部专家审查了缴获的数据,并生成了调查线索。此次行动在联合网络犯罪行动工作组的框架下进行,同时,联合指挥所负责协调全球行动期间的实时情报共享。
当局查获了LeakBase数据库,使得调查人员得以揭露多名自以为匿名的用户的真实身份。警方还通过犯罪分子常用的网络渠道联系了嫌疑人,明确警告他们网络匿名是有限的。调查人员仍在追踪数字证据,以识别其他犯罪分子。此次行动也凸显了数据泄露事件中被盗数据经常出现在网络犯罪论坛上,并助长诈骗、身份盗窃、账户盗用和网络钓鱼等犯罪活动,从而强调了强密码和多因素身份验证的重要性。
LeakBase管理员被俄罗斯警方锁定 威胁情报研究人员表示,一个使用Chucky、beakdaz、Chuckies和Sqlrip等网络化名的威胁行为者是LeakBase网站背后的管理员。在论坛被关闭后发布的报告中,KELA和TriTrace Investigations将Chucky与一名来自塔甘罗格的33岁男子联系起来。颇具讽刺意味的是,这位“世界最大规模之一”的泄露数据论坛管理员,似乎完全没有考虑过自身的匿名性。
研究人员表示,为了推广这个新论坛,其创建者Chucky亲手发布了已在其他网站上公开的泄露数据。其目的是推广该论坛,并将其打造成黑客的交易平台。自LeakBase成立以来,该论坛共发布了超过1.6万个数据库。
在LeakBase网站被国际执法行动查封几天后,LeakBase恢复了上线,域名为“leakbase[.]bz”,并由DDoS-Guard提供DDoS防护。而DDoS-Guard是一家俄罗斯的防弹(高防护)主机服务提供商,俄罗斯警方可以很容易通过DDoS-Guard或者其他支付方式锁定其管理员。
现在,访问LeakBase网站的用户会看到这样一条消息:“在俄罗斯内务部特别技术事件局的一次特别行动中,LeakBase 论坛已被永久关闭。在计算机信息领域从事非法活动,以及侵犯个人和公民的宪法权利和自由,均将根据俄罗斯法律承担刑事责任。”
情报人员的分析 情报研究人员表示,俄罗斯黑客的首要规则是:“别在俄罗斯境内搞事”。也就是说,别从俄罗斯人那里偷钱——这样俄罗斯联邦安全局(FSB)就不会找你麻烦。LeakBase也不例外。该论坛禁止出售与俄罗斯相关的数据库。
LeakBase的管理员兼创始人使用“Chucky”这个昵称——以此致敬同名恐怖电影系列中那只杀人玩偶。他从未隐瞒自己的国籍:在自己的论坛上,Chucky一直公开使用俄语交流。在LeakBase的联系方式栏中,Chucky留下了他的Telegram账号——@chuckybhf。该账号注册于来自塔甘罗格的33岁阿列克谢·库丘莫夫名下。
阿列克谢·库丘莫夫在网络上留下了大量的数字足迹,其中几乎每一条记录都指向他与Chucky的关联。例如,他的主要邮箱是[email protected]——也就是说,该邮箱既包含他的“黑客”化名,又注册在苹果公司名下。此前,阿列克谢·库丘莫夫曾使用[email protected]这一邮箱。在暗网网站 Doxbin 的用户信息泄露中,该邮箱与用户Beakdaz相关联。这是Chucky的旧昵称,十多年前他正是以此开启了暗网生涯。
库丘莫夫曾多次使用与这些昵称关联的邮箱购买SIM卡、支付主机费用,以及在其他需要提供护照信息的情况下。讽刺的是,Chucky从事泄露数据库的交易——他比任何人都更清楚,在俄罗斯数据泄露是家常便饭。
几年前,库丘莫夫在VK主页的“灵感”一栏中写下了“Darknet”。而通过其“黑客”账号@chuckybhf,库丘莫夫会阅读Telegram频道“塔甘罗格突发事件”的评论。此外,库丘莫夫还利用LeakBase上公开的Skype账号,通过该网站使用俄罗斯Plati卡购买电子游戏。
西方分析师的结论间接证实了阿列克谢·库丘莫夫就是Chucky。他们虽未透露Chucky的真实姓名,但指出了他与昵称Beakdaz的关联,以及可能位于塔甘罗格的所在地。
根据泄露信息显示,库丘莫夫从未出过国。如果他继续保持这种状态,那么这位前LeakBase管理员极有可能不会被捕。
本月初,“暗网下/AWX”曾报道,两个版本BreachForums论坛的多个明网域名遭执法机构查封。本月中旬,由Indra运营的暗网数据泄露论坛BreachForums遭遇了长期停机,明网网站无法正常访问,暗网网站提示“Onion site not found”。前端仍正常运行,但后端已无响应,基本可以确定其背后的基础设施出现了问题,而非黑客攻击或计划内维护。
虽然BreachForums管理层表示这只是例行维护,但据威胁情报专家猜测,可能有两项协同行动针对该论坛:一是由LAPSUS$与HasanBroker共同宣布的“Operation Lebensraum”联盟,明确以“抹除Indra及其BreachForums论坛”为目标;二是“网络反情报威胁调查联盟”(CCITIC),一家调查网络威胁以协助当局的非营利组织,该组织声称是他们攻击了Indra的BreachForums。
经“暗网下/AWX”长期坚持跟进与持续跟踪报道,可以看到BreachForums数据泄露论坛有着混乱的黑暗历史:多次遭FBI查封(2023–2025年)、大规模数据泄露(2026年1月有32.4万用户信息曝光)、疑似蜜罐的重新启动、多次域名被查封后重新启用新域名……自2022年以来,BreachForums历经多次FBI查封仍存活至今,每次被关停后都会更换顶级域名(.st ➡️ .cx ➡️ .is ➡️ .vc ➡️ .hn ➡️ .as…)。
这次不管是谁的努力,瘫痪了Indra的BreachForums论坛,则为其竞争对手HasanBroker版本的BreachForums论坛铺平了道路,该版本自诩为合法继承者,且正获得越来越多的支持。
“暗网下/AWX”继续追踪分析后基本确认,Indra版本BreachForums的关闭,既非黑客攻击,也非例行维护——而是被强制下线。网络反情报威胁调查联盟(CCITIC)成功关闭了Indra的BreachForums论坛,Indra被迫发布一则告别公告,但该公告目前已经不可见。
Indra的BreachForums论坛在CCITIC的持续努力与施压下关闭 根据CCITIC官网的介绍:
网络反情报威胁调查联盟(Cyber Counter-Intelligence Threat Investigation Consortium)是当今互联互通的数字环境中,抵御不断演变的网络威胁的一座协作堡垒。
本组织汇聚了网络安全专家、研究人员和分析师,共同构建统一的防御网络。依托自主研发的平台和集体智慧,我们在威胁危及关键基础设施之前,便能对其进行识别、分析并予以消除。
CCITIC宣告, BreachForums.as已下线——CCITIC成功将其击溃。其在领英上发文称,该域名breachforums[.]as是这个臭名昭著的网络犯罪论坛在明网上的最新版本,目前无法访问。这不是系统故障,而是被强制下线。
CCITIC表示,他们已成功定位到BreachForums背后的上游服务器,这些服务器均托管于DigitalOcean(ASN 14061)位于法兰克福数据中心的机房。随后,该组织提交了多份滥用报告(由于DigitalOcean要求每个 IP 地址提交一份报告,因此不得不提交了三份完全相同的报告),美国云服务提供商DigitalOcean终止了对这些服务器的服务。
🖥️ 已确认的服务器IP:
🔹 164.90.223.186 — 与 breachforums.as 域名直接关联
🔹 138.68.73.155
🔹 68.183.223.214
CCITIC于2026年3月6日扫描时,确定这些服务器拥有相同的技术指纹:WSGIServer/0.2、CPython/3.12.12、端口 3093、TLS 1.3。
2026年3月12日,CCITIC向DigitalOcean安全运营中心提交了滥用报告后,该托管服务商审查了CCITIC的报告,并对与BreachForums基础设施(breachforums[.]as)相关的账户采取了行动。
Indra发表告别信后选择转移资金退出 随后,访问Indra的BreachForums论坛,跳转至:https://breachforums[.]as/info/download.php,并显示一封告别公告:
亲爱的世界,
是时候向大家告别了——尽管并非彻底的告别。
BreachForums 早已不仅仅是一个平台;它是一个社区,在许多方面,更是一项你们每个人都理解并为此贡献力量的共同使命。
在过去的几个月里,我竭尽所能帮助这个社区重振旗鼓并日益壮大,我坚信这里所建立的一切将会继续存在并不断发展。
然而,此刻我必须退居二线。我个人生活中一些重要且迫切的事务需要我投入精力,其中包括一项新事业的启动。尽管如此,只要条件允许,我仍会尽我所能继续支持 BreachForums。
因此,我们现正寻找一位负责任的个人或团队,接手论坛的领导工作并提供持续支持。
现任版主团队将保持不变,并继续履行其一贯职责:Loki、Tanaka、888 和 Pine。
我们期待就论坛的未来展开严肃而认真的讨论。
如有兴趣,请通过以下渠道联系管理团队:
Session: 054d67e476285098efb2bbe770d205588b6639c5af9157edf138b630cd53109723
TOX:D1E8EB300080486048B366464BD5D57C86D6FA8234E784714541BAEAFB64FC6A7CCD72D7F819
— BreachForums 管理团队