网络犯罪分子、执法人员和研究人员都熟知的臭名昭著的BreachForums论坛最近又再次回归,在暗网与明网可以同时访问。
一些之前在论坛注册的用户最近收到了邮件,声称BreachForums已经重新开放并恢复了所有功能。邮件中断言内部技术问题已经解决,所有账户、帖子和内容现在都可以正常访问。
而与上次使用泰国、赞比亚等多国警方的被盗gov邮箱发送推广邮件相似,这次的发件人的电子邮件地址是:[email protected]。interieur.gouv.fr域名属于法国内政部。也就是说,从法国政府官方域名发送的电子邮件告诉黑客,BreachForums 已恢复上线,并邀请他们注册发帖。
于是所有人都怀疑这是一次来自执法机构的网络钓鱼攻击——更准确地说,是一个引诱网络犯罪分子的蜜罐,使用之前公开泄露的BreachForums备份搭建的。
Hey @Interieur_Gouv, thanks for the "exciting" BreachForums reopening alert straight from your official email—super convincing, guys! 😏
But real talk: any chance you could prioritize finding my stolen laptop instead of running this obvious honeypot op on us security… pic.twitter.com/BSgCOzHrbC
— Aleksandr Litreev (@alexlitreev) December 14, 2025 研究人员纷纷表示,暗网市场的所谓“复活”首先应持怀疑态度,这个伪装成BreachForums重启的网站是利用法国内政部域名发送通知邮件的诱饵陷阱,用户的访问记录及帖文内容极可能被用作执法证据。
然而,新成立的BreachForums论坛的运营者Indra声称,新BreachForums并非蜜罐,他们只是使用入侵获取的法国内政部邮箱发送推广邮件。
Indra宣称对此次针对法国内政部的网络攻击负责,他在声明中吹嘘,他们已获取了两个数据库的信息:TAJ(司法记录处理系统)和PFR(通缉犯档案)以及电子邮件。据报道,此次数据泄露事件影响了约1600万人。
截至目前,Indra称其仍可访问法国内政部的CHEOPS门户系统。研究人员认为黑客看起来正在使用法国内政部的Roundcube邮件系统发送电子邮件。
新BreachForums论坛管理员Indra的声明 管理员Indra于12 月13日在Breachforums发布一篇新的公告声明,对“蜜罐”事件及其他相关报道造成的误解深表歉意,对社区关注的事情进行了解释,并直接指责法国当局,提到了去年夏天在法国发生的逮捕事件。
管理员Indra在帖子中称,BreachForums”最初是“ShinyHunters/hollow”以及他们之前的另一个组织的项目。他们的整个组织(hollow、shiny等等)都被逮捕了。只有一个人拥有最初的“ShinyHunters PGP”密钥,而这个人是其朋友,但是他们之间产生了矛盾。因此,“诱饵”、“蜜罐”信息是假的,只是想关闭BreachForums,所以其就照做了。
Indra表示,在关闭网站并于15天内所有域名被查封后,相信大家都认为他们是FBI探员之类的。但显然们不是,他们会向BreachForums社区证明这一点。Indra宣布,为了报复被捕的朋友,他们已成功攻陷“MININT”——法国内政部。
Indra称,正如法国新闻报道的那样,法国内政部只承认政府私人电子邮件服务器被非法访问。但他们们绝口不提从警方档案中获取的16,444,373名个人的数据?
Indra问道,你们知道“TAJ”(Traitement d’Antécédents Judiciaires——犯罪记录处理系统)吗? “FPR”(Fichier des Personnes Recherchées——通缉犯数据库)呢?还有更多。国际刑警组织呢?你们是不是试图向他们隐瞒我们入侵“EASF MI”系统的事实?此外,你们为什么不向法国人民和全世界说明那两周究竟发生了什么?公共财政部门( DGFIP)呢?为什么只字未提?养老金部门( CNAV)呢?
上周,“暗网下/AWX”曾报道,暗网勒索软件团伙LockBit 5.0新的服务器IP地址和明网域名被泄露。同样的故事也在一个新的暗网市场Omertà Market上发生。暗网市场Omertà Market于2025年11月21日上线,其核心理念承诺“稳定重于炒作,安全胜于花哨”(stability over hype, security over flash)。大约两周后,安全研究员valor98公开曝光了该暗网市场的真实服务器IP地址,导致市场不得不关闭。这种运营信息泄露为执法部门提供了查封基础设施和逮捕运营者所需的一切信息。
Omertà Market的诞生 11月21日,管理员/u/OmertaMarket在暗网论坛Dread发布官方公告正式宣布推出Omertà Market,宣称历经数年静默开发、精雕细琢与安全测试,Omertà Market门户终于开启:http://omerta27hijua3utxjb5nvru3lo7qgrh7eym7n5hqmdqf7x3ywoedsid[.]onion
公告中表示,Omertà Market绝非是旧剧本的翻版,也不是换汤不换药的克隆,更非仓促填补空缺的尝试。Omertà自底层架构起便秉持一个核心目标:重新定义暗网市场的可能性。
公告宣称,近期既有暗网平台树立了高标准,也有暗网市场黯然退场。当多数暗网市场专注模仿的时候,Omertà在执着创新;当他人在偷工减料的时候,Omertà在筑起高墙。Omertà的每个组件都为用户提供速度、隐私与绝对掌控而生。Omertà市场的开发使命清晰:为这个已然失衡的领域重塑平衡、诚信与秩序。
公告继续声明了其豪情壮志:Omertà每项功能皆有其存在意义,每个系统都经过精密优化,每次交互都经过精细调整以保护用户的匿名性。其核心理念就是“稳定重于炒作,安全胜于花哨”。
公告描述了该暗网市场的诞生,Omertà团队耗费无数工时开发优化后端系统,对每层架构进行压力测试以确保长期韧性。该暗网市场不依赖预制代码库或外部依赖项,从基础设施到用户界面,驱动Omertà的每一部分都源自自主研发。由此打造的平台轻量、安全且可扩展,能随生态系统演进适应新挑战与用户需求。
公告继续吹嘘,Omertà市场不仅是交易平台,更是信任网络。无论是资深供应商、经验丰富的买家,还是初次探索未来的访客,Omertà都留有位置。Omertà珍视透明度、专业性与保密性——这些正是健康市场的基石。供应商与用户均可通过直接反馈渠道畅所欲言,确保Omertà与社区共同成长,而非脱节发展。
valor98的曝光与嘲讽 此次曝光源于/u/valor98发表在暗网论坛Dread上一篇题为“HOW NOT TO LAUNCH A MARKET 102”的帖子。valor98记录了三个暗网市场:Omertà Market、Orange Market 和Changa Store,它们都位于同一个ASN下,都是用 Laravel框架构建的:
Orange Market – 7x.xxx.xx7.1x Changa Store – 7x.2xx.xxx.x0 Omerta Market – xx.27.xx.xxx 这种聚集模式表明,这些业余暗网市场背后的管理员可能使用了类似的托管方案或共享基础设施。
valor98的评价简直像用大锤砸下来一样直白:“这是另一集,观看一个想当管理员的家伙笨手笨脚地装模作样,就像个住在奶奶地下室里的廉价技术小精灵。这傻子凭着自己臆想出来的‘风格’建了个网站,然后立马跑去问人工智能,‘嘿,呃,我建了个网站,怎么才能防黑客攻击??’,然后把人工智能给出的所有东西都复制粘贴了一遍,好像他刚刚破解了宇宙的秘密一样。”
“直觉编码”一词描述了一种日益严重的现象:人们使用人工智能语言模型生成应用程序代码,却不了解底层架构或安全隐患。如果代码库是由ChatGPT的输出复制粘贴组成,而这些输出是由在网站搭建完成后才询问“如何才能做到防黑客攻击”的人拼凑而成,那么结果往往是灾难性的。Omertà的IP泄露事件正是运营者将安全视为事后考虑的后果,无论这种考虑是源于人工智能生成的建议还是单纯的无能。
Dread用户/u/Scarab在评论中提供了额外的技术分析,指出Orange Market(同一ASN下的另一个暴露网站)实际上使用的是Python的Flask或Django框架,使用Jinja2模板引擎和gunicorn服务器,而不是最初声称的Laravel。/static/目录结构和服务器签名证明了这一点。/u/Scarab还指控Omertà市场“从 /d/BlackOps、/d/PrimeMarket、/d/MarsMarket 和 /d/DarkMatterMarket 等市场窃取了大量功能。
事件的后续与Omertà的关闭 Omertà发布的吹嘘公告与其实际安全状况之间的反差简直令人瞠目结舌。Omertà之前称其代码历时两年开发,代码库完全由内部团队构建,不依赖预构建的代码库或外部依赖项,并承诺提供诸多功能,包括自定义提款阈值、批量订单管理、自动回复模板等等。他们强调Omertà的运营完全由自己完成,从基础设施到用户界面都是如此。然而,大约两周的运营就证明了并非如此。当执法部门或者任何试图查找的人能够找到物理服务器位置与IP地址时,那些看似强大的功能列表就毫无意义了。
valor98发布曝光文章后,Omertà市场通过其/u/OmertaPR账号联系了/u/valor98,希望解决这个问题,迁移服务器,并与/u/valor98付费合作进行全面测试,以避免此类事件再次发生。valor98向社区分享了这条消息,并补充道:“我有生意要做啦!!!”
然而,其他社区成员也指出了这项提议的荒谬之处。用户/u/Paracelcus回复道:“如果是警察查到你的IP地址,你打算怎么办?贿赂他们然后换个服务器继续玩吗?还是付费跟他们合作,保证以后不再发生这种事?”
这个问题直击问题的核心。在IP地址泄露后才花钱做渗透测试,就好比房子着火后才去买灭火器。安全漏洞的影响已经造成。任何有能力的执法部门、竞争对手或研究人员现在都掌握了识别托管服务提供商、追踪资金流向以及可能识别运营者所需的信息。迁移服务器并不能改变之前已经存在的风险。
Scarab给出了大家的共识:“你们的市场平台彻底完蛋了。最好还是把现有的市场平台重新包装一下,推出一个新的。反正你们也是新公司,不如换个名字再重新上线。”
“暗网下/AWX”认为,缺乏安全专业知识的人工智能辅助开发,其代码在实际测试中可能运行正常,但一旦有人在对抗性环境下进行渗透测试,可能极易被攻击。暗网市场吸引了一些运营者,他们只看到了潜在的利润,却不了解维持稳定运营所需的安全手段。Omertà在其IP泄露前运营了大约两周,这表明他们从未采取过适当的安全防护措施。
如今,“Omertà”在短短两周内就彻底毁掉了自己的信誉,目前只能选择永久关闭。
一名恋童癖团伙头目运营着暗网群组,分享令人作呕的儿童性虐待视频,他被告知将在监狱服刑相当长的刑期。
英国伊斯特本(Eastbourne )的25岁男子若昂·特谢拉(Joao Teixeira)承认犯有一系列儿童性犯罪,他是某个有组织犯罪集团的成员,并运营着两个网络群组,这些群组致力于分享和传播儿童性虐待材料,其中包括一个暗网群组和一个在加密即时通讯应用Telegram上的群组。
特谢拉是“Sugar Heaven”和“Naughty Room 3.0”的管理员 此案源于英国国家犯罪调查局(NCA)对用于交换儿童非法图片和视频的网络进行的深入调查。警方发现,被告在至少名为“糖果天堂”(Sugar Heaven)的暗网分享网站和“淘气房间3.0”(Naughty Room 3.0)的Telegram聊天群组中扮演核心角色,这些群组成员之间分享了数千张涉及12岁以下儿童的图片、视频和极其严重的材料。
在刘易斯刑事法庭,这名男子——法庭记录显示其名为若昂·卡洛斯·雅尔丁·多斯·桑托斯·特谢拉(Joao Carlos Jardim dos Santos Teixeira)——对12项与儿童性虐待相关的指控认罪。这些指控包括持有超过13000张儿童违禁图片(其中许多属于最严重的类别);在2023年5月至2024年2月期间传播儿童不雅图片;协助对一名13岁男孩进行性剥削;以及通过管理非法网络参与有组织犯罪集团。
检方在法庭透露,这些犯罪集团组织严密,设有指定的管理员——特谢拉在被其他成员“投票”担任这些职位后,负责管理和掩盖这些虐待性的网络活动。
特谢拉预计将被判处相当长的监禁刑期 特谢拉的辩护律师表示,他计划举报一名他声称童年时期曾虐待过他的男子,以此作为减轻罪责的理由。但法官对此表示怀疑,并指出这并不能减轻他的罪责。
特谢拉身穿灰色运动衫和运动裤出现在刘易斯刑事法庭。斯蒂芬·穆尼法官阁下告诉他:“你将被判处相当长的监禁刑期。唯一的问题是刑期有多长。”
法官建议判处他长期监禁,特谢拉将于二月份被判刑,具体刑期将在二月份的量刑听证会上确定。
暗网和加密应用应成为警方关注焦点 专家和执法机构多次警告,暗网平台和Telegram等加密通讯应用为这些卑劣的交易提供了掩护。这些平台因其隐私性和匿名性而备受推崇,如今却正被不法分子利用,成为传播儿童性虐待材料的温床。
英国及其他地区的执法部门正在争分夺秒地瓦解这些助长剥削和虐待儿童的邪恶网络,并将像特谢拉这样的犯罪分子绳之以法。
周二晚些时候,超过300个与已关闭的暗网市场“丝绸之路”(Silk Road)相关的休眠加密货币钱包在沉寂近五年后,首次活跃起来,向一个新的钱包地址发送了价值数百万美元的比特币,总计33.7个比特币(价值超过300万美元的BTC)被转移。
目前尚不清楚究竟是谁在幕后操纵这些转账,不过合并后的资金后来被发送到了Coinbase Prime的存款地址。
据区块链情报公司Arkham Intelligence称,这些钱包在2012年曾持有多达442,000个比特币。如今,它们只剩下大约416个比特币,根据今天的比特币价格计算,价值约3800万美元。
Coinbase总监兼链上分析师康纳·格罗根(Conor Grogan)此前曾发现一些钱包与“丝绸之路”创始人罗斯·乌布利希有关联,这些钱包中存有约430枚比特币,当时价值4700万美元。至少其中一个钱包似乎与周二的资金转移事件有关。
统计区块链浏览器Arkham上的一堆被标记为Silk Road的地址,总共176笔交易被标记,少量BTC从许多独立地址转移到一个单一的合并地址bc1qnysx9sr0s7uw39awr3hh099d5m0lvrnxz7ga54。
在“丝绸之路”关联地址最后一次转账后约24小时,33.7BTC被发送到一个中间地址,然后转移到一个名为“Coinbase Prime Deposit”的地址。在最近的活动之前,标记为Silk Road地址的最后一笔对外交易是在2021年2月2日发送的。
格罗根当时的评估重点关注了尾号为“WoPx1”的钱包地址,该钱包包含约90个比特币,价值近900万美元,并被Arkham归类为“丝绸之路”网络犯罪集团成员的钱包。该钱包至少14年没有进行过任何交易。
格罗根表示,除了“WoPx1”钱包之外,他还将大约430个比特币连接到与罗斯·乌布利希关联的数十个钱包中。他补充说,虽然这些比特币在14年前“可能只是尘埃”,但随着比特币价值的上涨,它们现在已经增长到相当可观的数额。
“我不会透露具体地址,但所有这些地址都是公开的(在审判文件中引用或直接相邻),并且已被多个来源追踪,”格罗根在一月份回复他的调查结果时写道。
I found ~430 BTC across dozens of wallets associated with Ross Ulbricht that were not confiscated by the USGovt and have been untouched for 13+ years
Back then these were probably dust wallets, now, collectively, they are worth about $47M. Welcome back Ross pic.twitter.com/KmCp4xcrI7
— Conor (@jconorgrogan) January 22, 2025 暗网市场“丝绸之路”的传奇故事 “丝绸之路“是最早的主要以毒品交易为主的暗网市场,从2011年至2013年之间运营,处理了超过150万笔比特币交易,价值2.13亿美元。“丝绸之路“也是最早以比特币结算进行交易的暗网市场,网站收取手续费。
暗网勒索软件团伙LockBit 5.0遭遇了严重的运营安全事故,安全研究员Rakesh Krishnan发现了其最新的基础设施,包括服务器、IP地址和明网域名均被泄露。
12月5日,Krishnan首次通过X(前身为Twitter)公布了调查结果,并指出该域名是最近注册的,与LockBit 5.0的活动有直接联系。他的发现显示IP地址205.185.116.233和明网域名karma0.xyz托管了该勒索软件团伙的最新暗网泄密网站。
🚨Exposing #LOCKBIT 5.0 Server: IP & DOMAIN
IP: 205.185.116.233 🇺🇸#AS53667
Domain: karma0[.]xyz
Reg: 2 November 2025
💡LockBit Group uses #Smokeloader in their attacks
MD5: e818a9afd55693d556a47002a7b7ef31#Lockbit5 #Ransomware #Security #Intelligence #OSINT #Databreach #TOR pic.twitter.com/U1AvMoCuck
— RAKESH KRISHNAN (@RakeshKrish12) December 6, 2025 Krishnan表示,暴露的服务器托管在AS53667(PONYNET)下,该网络由FranTech Solutions运营,该网络经常被滥用于非法活动而臭名昭著。
访问该IP,该服务器显示了一个DDoS防护页面,上面明确显示有“LOCKBITS.5.0”标识,这直接证明了它是该勒索软件团伙的基础设施。
此次重大泄露发生之际,LockBit团伙正凭借其增强的恶意软件攻击能力试图卷土重来。
域名注册信息及服务器暴露详情 WHOIS记录显示karma0.xyz域名于2025年4月12日在域名服务商Namecheap注册,有效期至2026年4月,使用了Namecheap的隐私保护服务,因此无法查看更多注册信息,但可以看到Namecheap隐私保护将冰岛雷克雅未克列为联系地点。
域名状态显示禁止客户端转移,这项防御措施是在基础设施被公开确认之后才采取的。这表明该团伙已采取措施锁定管理控制权,以应对信息泄露事件。
通过域名的解析记录可以看到,该域名采用Cloudflare的NS服务器(iris.ns.cloudflare.com和tom.ns.cloudflare.com)进行解析。
针对IP地址205.185.116.233进行网络扫描,发现该服务器开放了多个端口,包括易受攻击的远程访问端口,存在重大安全风险。
该服务器在端口21上提供FTP服务,在端口80和5000上提供HTTP服务,在端口3389上提供远程桌面协议 (RDP),在端口5985上提供Windows远程管理(WinRM),在端口49666上提供文件共享服务。
端口协议组件服务21TCPFTP Server80TCPApache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.0.30 G7gGBXkXcAAcgxa.jpg3389TCPRDP (WINDOWS-401V6QI)5000TCPHTTP5985TCPWinRM47001TCPHTTP49666TCPFile Server 运行在Windows系统上的Apache Web服务器(版本2.4.58,OpenSSL 3.1.3和PHP 8.0.30)展示了该团伙的基于Windows的基础架构。
LockBit 5.0变种为迄今为止最危险的勒索软件 “暗网下/AWX”前期报道,LockBit 5.
众议员托尼·冈萨雷斯(Tony Gonzales)正着手打击网络毒贩,他与民主党议员联手,共同推动一项针对暗网上贩卖的芬太尼和其他非法毒品的新法案。据冈萨雷斯众议员办公室称,这项名为《暗网拦截法案》的提案(The Dark Web Interdiction Act)由新罕布什尔州民主党议员克里斯·帕帕斯(Chris Pappas)共同发起,旨在加大对毒品贩运者的处罚力度,并成立一个由多个机构组成的特别工作组,专门负责追捕暗网毒贩,重点打击通过暗网进行的国际芬太尼贩运活动。
众议员托尼·冈萨雷斯办公室发布的新闻稿中,冈萨雷斯表示,该提案“将为执法人员提供所需的资源”,以追查利用匿名平台贩运违禁品的暗网毒贩,这些毒贩利用暗网平台在美国各地贩卖非法毒品。他将此举描述为一项两党合作的举措,旨在加强地方、州和联邦调查人员识别、逮捕和定罪暗网贩运者的能力。
法案阐述了当前暗网贩毒的严重危机 暗网由利用覆盖网络提供匿名性的网站及其他网络服务构成。这些覆盖网络虽基于互联网运行,但需特定软件和配置方可访问。覆盖网络采用多重加密流量中继机制:单个中继计算机仅知晓信息来源及传输方向,却永远无法同时掌握流量的原始起点与最终目的地。这种匿名特性使犯罪分子得以规避执法机关的法律程序,在暗网中存放非法内容,逃避针对非法商品交易网站的有效调查与内容清除。
暗网市场包含基于暗网的电子商务网站,用户使用虚拟货币在此交易毒品、武器、恶意软件、伪造货币、盗窃信用卡、个人身份信息、伪造文件、无许可药品及其他非法商品。
由于暗网提供的匿名性,非法活动可在全球任何地点开展,且无需对以下方面负责:(A) 联邦政府;(B) 联邦法律;或(C) 任何其他政府或法律体系。
利用暗网分销非法毒品的行为,不仅加剧了美国各地社区遭受摧残的药物滥用危机,至今仍在持续助长这一危机。这种破坏性影响很大程度上源于暗网使非法商品得以匿名获取。
美国各级政府执法机构持续调查暗网引发的毒品走私及非法商品服务交易活动,这些犯罪行为既发生于美国境内,也蔓延至美国国际边境。然而互联网增强的匿名性使得识别和起诉以下个人及组织变得更加困难—— (A) 管理或运营暗网中促进非法毒品、商品或服务流通的网站;或 (B) 通过暗网非法市场买卖毒品、商品或服务。
法案将进一步加强J-CODE 据美国国会网站(Congress.gov)报道,该法案指示美国量刑委员会加重对通过暗网贩运非法毒品者的刑罚。法案还将加强并永久化联合刑事阿片类药物和暗网执法工作组(J-CODE)。该法案由众议员克里斯·帕帕斯正式提出,众议员冈萨雷斯是最初的共同提案人之一,目前已提交众议院多个委员会进行进一步审查。
据官方消息,美国司法部和联邦调查局联合成立了“联合刑事阿片类药物和暗网执法小组”(J-CODE),旨在协调对暗网市场的调查。联邦当局认为,J-CODE的行动促成了数百起逮捕、大量毒品和现金缴获,并取缔了多个在线市场。例如,美国司法部发布的消息显示,一次联合执法行动就导致数十人被捕,缴获约300公斤毒品,并从暗网卖家手中缴获数百万美元现金和加密货币。
参议院盟友及前进之路 据参议员玛吉·哈桑办公室发布的消息,在国会大厦的另一侧,参议员玛吉·哈桑和约翰·科宁已在参议院提出配套法案,作为两院协调推进的一部分。支持者表示,此举旨在打击依赖匿名技术的国际芬太尼贩运活动。众议院和参议院的法案版本均需经过委员会审议,才能安排全体投票表决。众议院法案已提交多个委员会审议,其全文及提交委员会信息可在国会网站(Congress.gov)上查阅。
埃尔帕索的媒体重点关注了冈萨雷斯的声明,强调该法案旨在阻止芬太尼通过网络购买后跨境流入。KFOX报道称,支持者希望将J-CODE法典化并收紧量刑指南,能够让检察官和调查人员在法案提交国会审议期间,更有力地打击跨国暗网网络。
”暗网下/AWX“之前曾多次报道,参议员玛吉·哈桑、众议员克里斯·帕帕斯、众议员托尼·冈萨雷斯等长期关注暗网贩毒的危害性,致力于加大对暗网贩毒的处罚力度,如2022年他们提出立法打击基于暗网与加密货币的阿片类药物贩运活动,2023年提出法案打击暗网贩毒活动。
暗网中隐藏着的诈骗网站比较多,“暗网下/AWX”多年来持续曝光了许多,今天要曝光的诈骗网站是这么些年以来最没有技术含量的暗网网站,仅仅使用几个html页面来搭建,甚至有可能背后的诈骗分子不是英语母语。
暗网诈骗市场”CMarket”如何推广、存在时长、诈骗金额目前均尚不得而知,欢迎大家提供更多线索。某日,“暗网下/AWX”官方Telegram群组中某网友咨询该网站是否为诈骗网站,本站(anwangxia.com)根据该网友提供的暗网域名,尝试进行了访问探寻。
暗网诈骗市场”CMarket”的洋葱域名为:
http://cmarket2mkfnxbpjtd7moahl2vel3r7bbix2mibljappe4bmwzbejtad.onion
进入该诈骗网站,映入眼帘的是网站名称”CMarket”,由一张模糊的logo图片展示,下面一行小字写着全称“International Criminal Marketplace”。但是再下面的欢迎语是“Welcome to the information market !”,且网站title标签内的名称也是“Information Market”,让人有点懵,网站名称究竟是”CMarket”,还是“Information Market”,果然诈骗网站能够做到不拘一格取名称,鉴于其洋葱域名以cmarket打头,本站姑且称之为”CMarket”。
该诈骗网站首页的正文部门看起来是其销售的商品分类与介绍,但其实是诈骗网站的7个导航页面:
个人信息:出售个人信息。此类个人信息不仅包含个人数据,还涵盖其各类活动相关的信息。 与违法行为相关的个人信息:出售个人信息。此类个人信息不仅包含个人数据,还涵盖其各类活动相关的信息。 个人健康信息:完整的个人健康信息,包括临床信息、化验结果等。 政府文件:我们可提供政府文件副本及其他政府与非政府组织的文件副本 政府身份证件:我们出售各个国家/地区的身份证件副本,这些副本采用原件格式,并附有您的照片。 身份证件模板:我们出售各个国家/地区的空白身份证件模板。 信用卡信息 | 数据库:您可以使用这些信用卡在任何地方消费:实体店购物、网购及ATM机取款。 与“暗网下/AWX”多次曝光的最大中文暗网诈骗网站“联合中文担保交易集市”一样,这些分类一眼假,导航链接虽是php后缀,点开访问却是一个个的html页面,页面中写着商品介绍的话术,配上一个比特币地址。如出售个人信息页面的话术:个人的姓名、地址、电话号码、电子邮件地址、社交媒体账号;个人的家庭成员构成;个人的照片;个人的薪资、银行账户、财务详情;个人的财产信息;以该人名义注册的公司、基金会等信息;个人的教育或教育活动详情,例如所获学位或博士学位申请情况;个人是否为某个协会的成员或领导者,以及其出席会议的情况;个人是否为工会或专业机构的成员;个人在工作文件中出现的姓名。
经测试,对于每个访问者,要求转账的比特币地址均相同:3GN7dgj2eGNf2TcSftTFRTCZ9FTfUgk9Bx,经区块链上查询,该BTC地址仅有0.00006095 BTC的收入,诈骗成果似乎远远不及“联合中文担保交易集市”,不过也许可能之前更改过BTC地址。
该诈骗网站提示的购买步骤:“1. 将款项汇至以下比特币钱包地址(3GN7dgj2eGNf2TcSftTFRTCZ9FTfUgk9Bx);2. 将付款信息(精确金额及交易ID)发送至邮箱:[email protected];3. 付款后一小时内,我们将发送信息下载链接。若需补充信息,付款后48小时内您将收到该链接。”此购买步骤与“联合中文担保交易集市”相当雷同,消耗了暗网中根本不存在的交易信任。
网站的尾部又是一幅图,整体看来,该诈骗网站框架很简单,每个页面均是头尾各一幅图,分别是banner.png与desktop.png,中间内容是诈骗话术,由于没有动态内容,连最基本的用户交互都没有,所以此类网站一眼假,诈骗网站无疑。
“暗网下/AWX”再次提醒,没有一定的名声与信誉度,没有知名暗网网站(如Dread)做担保,直接要求转账比特币,此类网站均为诈骗网站。
更多暗网新闻动态,请关注“暗网下/AWX”。
本周,欧洲刑警组织一项国际联合执法行动在暗网社区引发了强烈轰动,该执法行动捣毁了名为“Cryptomixer”的加密货币混币网站,据称该网站自2016年以来可以在暗网与明网同时访问,参与洗钱超过13亿欧元的比特币。
2025年12月1日,欧洲刑警组织宣布,欧洲司法组织和欧洲刑警组织与德国和瑞士当局密切合作,支持瑞士和德国执法部门于11月24日至28日在瑞士苏黎世开展的为期一周的执法行动,此次行动的重点是取缔非法加密货币混合服务“Cryptomixer”。
“Cryptomixer”为勒索软件团伙、地下经济论坛和暗网市场提供了洗钱工具,使其资金来源不明,“Cryptomixer”能够阻止资金在区块链上的追踪,使其成为网络犯罪分子洗钱的首选平台,这些非法所得来自各种犯罪活动,例如毒品走私、武器走私、勒索软件攻击和支付卡欺诈。
瑞士警方查获了“Cryptomixer”的三台服务器以及明网域名cryptomixer.io。此次行动缴获了超过12TB的数据和价值超过2500万欧元的比特币。在非法服务被接管并关闭后,执法部门在该网站上发布了查封公告。
除了令人瞩目的数字之外,此次行动还凸显了全球打击网络犯罪斗争的一个关键转变:犯罪分子不再藏身于实体场所,而是躲在旨在抹去其踪迹的不透明数字工具背后。
“Cryptomixer”是一项旨在掩盖犯罪资金来源的服务 近十年来,“Cryptomixer”一直在明网和暗网公开运营,提供看似简单的服务:混合或“翻滚”加密货币,使其无法追踪。用户将比特币发送到该平台,平台会将这些比特币与其他加密货币混合,然后以掩盖其来源的方式返还给用户。实际上,这项技术已成为依赖匿名性的犯罪集团的避风港——贩毒集团、军火走私犯、勒索软件集团、诈骗网络以及非法暗网市场的运营者。“Cryptomixer”与之前的混币工具不同之处在于其混合特性:它将日常互联网与暗网的隐秘角落连接起来,使其既适用于业余网络犯罪分子,也适用于专业犯罪集团。
这项历经数月协调的调查最终查获了价值超过2500万欧元(约合2910万美元)的加密货币、三台物理服务器、该平台的域名,以及高达12TB的数据——这些数据足以包含详细的交易记录、用户日志和内部软件工具。尽管当局尚未透露有多少嫌疑人被捕或被起诉,但官员强调,查获的数据可能有助于开展进一步的行动。
加密货币混合器本身并不违法。理论上,它们为不希望其金融活动在区块链上被追踪的用户提供了一种增强隐私的服务。但实际上,这些混合器已成为网络犯罪生态系统中最常被滥用的工具之一。其核心吸引力在于它们能够破坏区块链技术所依赖的可见所有权链。一旦资金被混合,追踪资金的难度将呈指数级增长——即使是配备先进分析技术的经验丰富的取证团队也难以做到。
来自不同用户的存款会被随机汇集一段较长时间,然后再随机分配到各个目标地址。由于许多数字货币都提供所有交易的公开账本,混币服务使得追踪特定币种变得困难,从而掩盖了加密货币的来源。
诸如“Cryptomixer”之类的混币服务为客户提供匿名性,犯罪分子通常使用此类服务将洗白后的资产转移到加密货币交易所。这样,经过“清洗”的加密货币就可以通过ATM机或银行账户兑换成其他加密货币或法定货币。
据报道,“Cryptomixer”的软件更加领先。调查人员称,该系统采用了多层技术,包括多阶段混合、随机交易路径和提现延迟,旨在阻挠区块链侦查。这些功能有效地使该服务成为勒索软件团伙的首选工具,他们需要在不引起当局注意的情况下快速洗钱。支付卡诈骗团伙和毒品贩运者也利用了这种匿名性,通过“Cryptomixer”付款以兑现利润或在线购买非法商品。
它在暗网市场的流行表明,它与网络犯罪供应链的联系更加紧密。非法毒品超市、被盗数据供应商和雇佣黑客的平台都利用这种混币器接收付款,而无需暴露运营账户。对犯罪分子而言,“你的比特币不会被追踪”这一保证极具吸引力。
与去中心化混币器不同,Cryptomixer似乎完全由一个中心化团队控制,这使其更容易受到执法检查和服务器查封。然而,其庞大的运营规模——处理超过13亿欧元的比特币——揭示了此类服务的巨大需求,以及加密货币生态系统中流动的巨额犯罪利润。
欧洲刑警组织的支持与努力 对于欧洲刑警组织欧洲网络犯罪中心(EC3)而言,此次行动是其打击地下数字经济基础设施系列行动中的又一里程碑。欧洲刑警组织的一位代表称“Cryptomixer”是“全球规模最大、技术最复杂的加密货币洗钱服务之一”,并指出其长期运营使其能够深度渗透到多个非法供应链中。
欧盟刑事司法合作机构欧洲司法组织(Eurojust)也强调了同步执法行动的重要性。该机构通过跨多个司法管辖区签发搜查令、搜查令和数据扣押令,帮助切断了“Cryptomixer”的运营——如果执法行动各自为政,这是不可能实现的。鉴于瑞士在金融保密方面的声誉以及其对数字资产调查的严格规定,瑞士的合作尤为值得关注。
执法官员日益强调,打击这些“帮凶”与逮捕网络犯罪分子本身同等重要。如果没有这些“洗钱者”,勒索软件的支付更容易追踪,毒贩转移资金的风险会更高,暗网市场也难以维持匿名性。正如一位调查人员所指出的,“如果关闭了洗钱中心,就等于关闭了一半的犯罪经济。”
Cryptomixer的查封符合全球执法战略中日益增长的趋势。过去三年,当局越来越多地将加密货币混合平台作为打击勒索软件集团和地下数字经济的行动目标。类似的行动也针对了欧洲最大的暗网市场Hydra、与朝鲜黑客有关联的混合平台Blender.io以及受美国财政部制裁的去中心化混合服务Tornado Cash。“暗网下/AWX”曾报道,欧洲刑警组织在2023年3月支持取缔了当时最大的加密货币混币服务“Chipmixer”。
“Cryptomixer”的倒闭无疑将再次引发关于政府应如何监管隐私增强技术的辩论。批评者认为,此次打击行动有可能将隐私本身定为犯罪,而支持者则反驳说,混币器绝大多数时候都服务于犯罪目的。但更大的矛盾在于,去中心化自由的理想与在如今只需轻点几下鼠标即可跨境犯罪的时代,执法实际需求之间的矛盾。
随着当局对缴获的大量数据进行分析,预计将会有更多人被捕并展开调查。这能否从根本上遏制犯罪活动,还是仅仅迫使犯罪分子转向更复杂、更分散的工具,目前尚不得而知。但就目前而言,“暗网下/AWX”认为,对“Cryptomixer”的联合打击标志着,在网络犯罪网络与试图阻止它们的国际执法机构之间持续斗争中,国际执法机构取得了一次重大而辉煌的胜利。
参与此次执法行动的国家与机构 参与国家:
德国:联邦刑事警察局(Bundeskcriminalamt);美因河畔法兰克福总检察长办公室网络犯罪中心 (Generalstaatsanwaltschaft法兰克福美因河畔, Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität) 瑞士:苏黎世市警察局(Stadtpolizei Zürich);苏黎世州警察局(Kantonspolizei Zürich);苏黎世检察官办公室 (Staatsanwaltschaft Zürich) 参与机构:
欧洲刑警组织 欧洲司法组织
德国一名男子因长期贩卖伪造身份证件在萨克森-安哈尔特州被捕,据称其中许多证件曾通过现已关闭的暗网市场“Crimemarket”进行兜售。
跟据法兰克福检察官办公室和哈勒(萨勒河畔)联邦警察刑事调查部门联合发布的声明,这名36岁的男子是在萨克森-安哈尔特州的耶利哥地区被捕的,目前已被拘留。他涉嫌通过暗网寻找部分客户,被控犯有商业伪造罪。
警方称其至少涉及50起案件,以最高550欧元的加密货币价格出售可自由定制个人信息和照片的假身份证件。
德国七个联邦州(巴伐利亚州、柏林、黑森州、北莱茵-威斯特法伦州、莱茵兰-普法尔茨州、萨克森-安哈尔特州和石勒苏益格-荷尔斯泰因州)针对九名涉嫌客户展开大规模搜查行动。约有300名联邦警察参与了此次行动,查获空白身份证纸张、雕刻机、印章、伪造箔片元件及大量用户数据——调查人员认为这些证据将有助于锁定更多客户。
伪造身份证件费用最高可达550欧元 据当局报告,伪造身份证的价格最高可达550欧元,可以用加密货币支付。个人信息和照片可以随意选择。伪造证件常被用于诈骗或洗钱等活动。
据称,被告的销售渠道位于交易平台crimemarket.is上,该平台于2024年被执法部门关闭。该平台既可通过暗网访问,也可通过互联网访问。
对其他客户的调查方法 搜查过程中,警方发现了所谓的空白身份证——即用于制作身份证明文件的卡片。此外,还查获了雕刻机、印章和伪造的箔片元件。一辆摩托车也被扣押。声明中写道:“此外,警方还获取了大量用户数据,为进一步识别嫌疑人的客户提供了宝贵线索。”
该调查由法兰克福检察官办公室打击网络犯罪中央办公室(ZIT)负责进行。
德国警方于2024年初捣毁暗网网站“Crimemarket” “Crimemarket”曾经是德语区最大的在线犯罪交易平台,拥有超过18万名注册用户。该平台提供犯罪服务,并详细指导如何实施严重犯罪和吸毒。
2024年初,德国警方对最大的德语网络犯罪交易平台“Crimemarket”展开了突袭行动,查获位于冰岛的服务器,并逮捕了6人,其中包括主要嫌疑人,一名来自科尔申布罗伊希的23岁男子。据警方称,他正因涉嫌洗钱和计算机诈骗接受调查。此次突击行动主要集中在北莱茵-威斯特法伦州,共搜查了36处房产。警方缴获了大量证据,包括手机、IT设备、毒品以及总计60万欧元的现金和动产。
依赖Tor的用户希望他们的流量在网络中传输时不会泄露他们的身份。这种信任取决于保护每一跳的加密强度。
本周,Tor项目宣布了一项重大的加密技术改革,用一种名为“反伽罗瓦洋葱”(Counter Galois Onion,简称CGO)的全新、有研究支持的设计取代了使用了几十年的中继加密算法。
此次升级标志着在保护匿名网络用户免受更广泛的复杂网络攻击者(特别是那些进行标记攻击的攻击者,这些攻击以前可能会损害用户隐私)的侵害方面迈出了重要一步。
为什么Tor需要改变中继处理加密的方式 Tor最初的中继加密算法,现在追溯命名为“tor1”,使用AES-128-CTR流密码结合弱4字节SHA-1摘要,在用户数据通过网络中的多个中继传输时对其进行加密。
虽然这种设计能够实现功能,但它存在一些关键漏洞,而现代密码学已经解决了这些漏洞。
最严重的问题是攻击者可以修改传输中的加密数据,并预测更改将如何在网络中传播,从而使他们能够追踪流量并有可能取消用户匿名性。
旧系统还存在前向保密性不足的问题,在网络传输的整个生命周期内都保留着重复的对称加密密钥。如果攻击者在网络保持激活状态时窃取了密钥,他们就可以解密之前的所有通信。
此外,4字节验证器只有四十亿分之一的概率能检测出单元伪造,这使得网络容易受到操纵。因此中继加密算法虽然已使用多年,如今已显露老旧之处。
CGO为网络带来了什么 CGO由密码学家Jean Paul Degabriele、Alessandro Melloni、Jean-Pierre Münch和Martijn Stam开发,代表了解决这些问题的现代方案。
CGO基于坚固的伪随机置换(RPRP)结构,确保篡改加密数据的任何部分都会导致整个消息和所有后续消息无法恢复。
这种宽块密码方法能够抵抗标记攻击,而不会像传统的宽块设计那样产生过多的带宽开销。
新算法通过“更新”构造实现即时前向保密,在处理每个单元格后转换加密密钥,即使当前密钥泄露,也能防止解密先前的消息。
CGO还升级了身份验证,采用了强大的16字节身份验证器,用现代加密标准取代了过时的SHA-1摘要。
CGO部署进展情况 CGO目前仍在Arti(Tor基于Rust的实现)和C语言Tor代码库中积极开发。Arti中已包含CGO,但标记为实验性功能。开发者计划在测试完成后默认启用CGO。
Tor项目已经在其Rust实现Arti中实现了CGO,并且正在开发用于中继支持的C实现。
当前路线图的优先事项包括:在Arti中默认启用CGO,为洋葱服务实现CGO协商,以及针对现代处理器优化性能。
此次过渡需要重构Tor代码库中关于中继单元布局和加密机制的核心假设。
尽管CGO代表着一项重大进步,但Tor项目也承认,作为一个相对较新的设计,它将受益于持续的密码学审查。Tor开发者写道:“我们有理由质疑它是否存在缺陷”,同时他们也描述了为评估该建筑结构而采取的步骤。
CGO代表了Tor核心加密技术近年来最重大的变革之一。随着开发的持续进行,用户和Tor网络上的节点运营者应密切关注即将发布的版本,并在CGO正式上线后做好过渡准备。