美国司法部宣布查封了其所称的全球最大的黑客论坛之一——LeakBase论坛。该部门在最新发布的新闻稿中表示,LeakBase是“世界上最大的在线论坛之一”,用于交易被盗数据和网络犯罪工具,已在全球范围内被捣毁。
与此同时,欧洲刑警组织也发布新闻稿称,经过欧洲刑警组织协调的国际行动,一个大型的用于传播被盗数据的在线论坛被捣毁。欧洲刑警组织表示,这个名为LeakBase的论坛已成为网络犯罪生态系统中的一个中心枢纽,专门从事泄露数据库和所谓的“窃取日志”(通过信息窃取恶意软件收集的被盗凭证存档)的交易。
根据”暗网下/AWX“掌握的信息,LeakBase论坛可通过明网访问,并以英语运行,它融合了论坛和讨论区的元素,使网络犯罪分子能够买卖和交换泄露的数据。
美国司法部称,该公告是在其前身网络犯罪市场RaidForums(2022年)和BreachForums(2023年)被取缔之后发布的,此外,BreachForums的创始人也于2025年被定罪并判刑。
“全球最大的网络犯罪论坛之一” 据调查人员称,LeakBase自2021年起活跃至今,维护着一个庞大且持续更新的泄露数据库档案库,涵盖了从历史泄露到新近泄露的数据,其中包括数亿条凭证、信用卡号、银行账户和路由信息。该论坛上充斥着大量的凭证对(包括电子邮件和密码组合)以及其他用于账户盗用、欺诈和进一步网络入侵的访问凭证。
基于信用的经济体系和声誉驱动的用户系统帮助犯罪分子之间建立信任,并维持了一个蓬勃发展的地下论坛。该论坛一项引人注目的内部规则禁止出售或发布任何与俄罗斯相关的数据。
LeakBase最初是由ARES威胁组织支持的项目,在BreachForums论坛遭受多次打击后,LeakBase得到显著发展。截至2025年12月,LeakBase拥有超过14.2万名注册用户、约3.2万个帖子和超过21.5万条私人消息,凸显了其规模和全球影响力。
该论坛免费加入,提供数据库访问权限、漏洞利用交易市场(用于出售泄露信息、漏洞利用程序和其他网络犯罪服务)以及担保支付系统。此外,它还设有编程、黑客技巧、社会工程学、密码学和行动安全指南等主题的讨论区。
LeakBase允许论坛用户出售从被盗数据库中获取的信息,包括从美国公司和个人非法获取的数据,并提供信用卡和借记卡号、银行账户和路由信息、用户名和相关密码等信息,这些信息可能有助于进一步盗用账户,以及其他敏感的商业和个人身份信息。
国际联合执法行动 3月3日至4日,包括美国在内的14个国家的执法人员在海牙欧洲刑警组织的协调下,对LeakBase及其用户采取了同步行动。具体而言,美国和其他国家关闭了LeakBase,查封了该论坛的完整数据库和该论坛使用的两个域名,在LeakBase网站上发布了查封公告,向LeakBase成员发送了预防信息,并收集了更多证据。执法部门还在美国、澳大利亚、比利时、波兰、葡萄牙、罗马尼亚、西班牙和英国执行了搜查令、逮捕了嫌疑人并进行了讯问。
欧洲刑警组织在新闻稿中指出,他们在全球范围内开展了大约100次行动,其中包括针对37名最活跃的论坛用户;周三早些时候,美国联邦调查局将该网站的域名重定向到其控制的服务器,有效地关闭了该网站。
新闻稿还指出,该论坛的数据库及其所有内容,包括 IP 日志和私人消息,将在未来调查中用于“取证目的”。
“所有论坛内容,包括用户账户、帖子、信用卡信息、私信和IP日志,均已安全保存,以作证据之用,”公告写道。“任何试图访问、篡改或干扰本网站的行为都可能构成其他刑事犯罪。此次行动得以实现,得益于国际执法部门和私营部门的协调合作,其中包括以下列出的合作伙伴。”
LeakBase多个明网域名被查封 经”暗网下/AWX“测试,LeakBase多个明网域名的域名服务器也已切换为ns1.fbi.seized.gov和ns2.fbi.seized.gov,这是FBI在查封域名时使用的域名服务器。目前LeakBase的4个明网域名被查封:
leakbase[.]co leakbase[.]io leakbase[.]ws leakbase[.]la 现在访问这些LeakBase的域名,均显示查封通知,称“作为国际执法行动的一部分,本网站已被联邦调查局(FBI)查封”。
欧洲刑警组织的支持 欧洲刑警组织的新闻稿透露,欧洲刑警组织的分析人员绘制了该论坛的基础设施和用户活动图,并将数据与欧洲及其他地区正在进行的调查进行交叉比对。敏感信息通过欧洲刑警组织的安全平台进行交换,使调查人员能够跨越国界将嫌疑人、受害者和数字证据联系起来。
欧洲刑警组织海牙总部开展了一次数据冲刺行动,汇集了各领域专家,旨在快速分析缴获的数据并识别高价值目标。一位专门的数据科学家为该案件提供支持,提取并整理了数百万个数据点,从而生成可执行的线索。
合作伙伴们一直在欧洲刑警组织主办的联合网络犯罪行动工作组(J-CAT)框架内密切合作,为调查的最后阶段做准备。在行动当天,欧洲刑警组织设立并协调了一个联合指挥所,使参与国能够实时共享最新情况和情报,以便在全球范围内展开执法行动。
当局对网络犯罪分子发出警告 美国司法部刑事司助理司法部长A·泰森·杜瓦表示:“此次捣毁网络论坛,瓦解了一个重要的国际平台,网络犯罪分子利用该平台窃取敏感的个人信息、银行账户信息并从中牟利。此次行动展现了美国及其国际伙伴在全球范围内携手合作,摧毁这一关键网络犯罪论坛的强大实力。刑事司将继续利用我们的国际关系,保护受害者的个人和账户信息免遭跨国犯罪组织的侵害。”
美国犹他州联邦检察官梅丽莎·霍利奥克表示:”这项涉及14个国家的行动展现了我们与国际伙伴之间非凡的合作,通过与伙伴的合作,我们能够打击最老练的网络犯罪分子和网络。我的办公室将始终坚定不移地致力于调查并为那些被试图躲在外国国界后的个人盯上的美国公民伸张正义。”
美国联邦调查局网络犯罪部门助理局长布雷特·莱瑟曼表示:“联邦调查局、欧洲刑警组织以及来自世界各地的执法机构联合行动,捣毁了最大的网络犯罪平台之一LeakBase,查封了用户的账户、帖子、信用卡信息、私人消息和IP日志,以收集证据。我们与合作伙伴携手,向世人传递一个明确的信息:在网络上,没有哪个犯罪分子能够真正匿名。同时,我们也切断了美国企业和个人被盗信息的便捷入口。联邦调查局将继续通过摧毁网络犯罪分子用来实施攻击的关键服务,来捍卫国土安全。”
美国联邦调查局盐湖城分局负责人罗伯特·博尔斯特工表示:“躲在屏幕后面并不能让网络犯罪分子逃脱法律制裁,这次国际行动展现了我们全球联盟的强大实力,以及我们共同致力于打击那些助长数据窃取和侵害全球无辜民众及组织的平台的决心。我们将继续携手合作,无论那些企图从网络犯罪中牟利的人身处何地,都应予以查明、瓦解并追究其责任。”
欧洲刑警组织欧洲网络犯罪中心负责人埃德瓦尔达斯·希莱里斯表示:“这次行动表明,互联网的任何角落都逃不过国际执法部门的法眼。最初用于非法窃取数据的隐秘平台如今已被摧毁,那些妄图躲在匿名背后逍遥法外的人正在被绳之以法。这向世界各地的网络犯罪分子发出明确的警告:如果你贩卖他人被盗信息,执法部门必将找到你,并将你绳之以法。”
参与本次调查与行动的国家 澳大利亚 比利时 加拿大 德国 希腊 科索沃 马来西亚 荷兰 波兰 葡萄牙 罗马尼亚 西班牙 英国 美国
近期,美国缉毒局(DEA)在纽约东区联邦检察官办公室的合作下,宣布查封了200多个与一个总部设在印度的跨国犯罪组织(TCO)有关联的网站域名,并逮捕了与一个总部位于印度的贩毒集团有关联的主要嫌疑人,该集团在美国境内活动,通过暗网销售管制药品,据称至少造成6人死亡和4人非致命的过量用药事件。自2022年以来,DEA落基山分局一直在调查与这些非法网上药店有关的TCO。
DEA牵头的这项执法行动名为“熔毁行动”(Operation Meltdown),此次打击行动凸显了暗网和加密货币在阿片类药物贩运中日益严重的滥用,促使人们呼吁加强全球执法和监管。
为遏制美国境内非法网上销售管制药品的行为,美国缉毒局(DEA)查封了200个网站域名,这些域名隶属于一个总部设在印度、在美国活动的跨国犯罪组织。自2026年1月27日起,美国缉毒局(DEA)在全美各地的办事处开展了多项行动,逮捕了四名嫌疑人,并签发了五份立即暂停令(ISO)和一份责令说明理由令(OTSC)。这两项行政措施均针对DEA注册人员,旨在保护公众免受危害公共健康或安全的威胁。此外,美国政府还关闭了200多家在线药店,这些药店被指控在没有有效处方的情况下,处理了数十万份非法转售药品和假药的订单。此次与印度执法机构联合开展的“熔毁行动”(Operation Meltdown)表明,美国缉毒局已加强对非法毒品销售的打击力度,其中包括一些威胁公众健康的阿片类药物。
众所周知,芬太尼属于管制药品,与美国阿片类药物成瘾、过量服用和药物相关死亡的流行密切相关,甚至在特朗普政府的第一任期内,芬太尼就一直是其打击目标。在美国,管制药品只能由获得许可的药房凭有效处方出售,根据《管制物质法》(CSA),美国缉毒局(DEA)负责监管药房保管的管制物质的处理、储存和分发。《管制物质法》规定,药房只有在收到由执业医师出于合法医疗目的在其正常执业范围内开具的有效处方后,才有权配发管制物质。
而许多网站却不受此类限制,据当局称,这些网站销售掺有芬太尼等阿片类药物的假药或有害药物。非法网上药店通常使用美国网站地址和专业设计,以伪装成合法网站,但实际上并非如此。这些公司非法运营,蓄意欺骗美国消费者,让他们误以为自己购买的是合法、安全且受监管的药品。在“熔毁行动”(Operation Meltdown) 中被查封的许多网站都声称自己合法、总部位于美国,并已获得美国食品药品监督管理局(FDA)的批准,但美国缉毒局(DEA)的调查发现,这些网站的运营者往往与毒贩勾结,用假药或非法转售的药品来履行网上订单。这些假药通常含有芬太尼或甲基苯丙胺,服用后可能导致严重的健康风险,包括有害的副作用、治疗无效,甚至死亡。
2024年,美国缉毒局发布公共服务公告,警告美国民众非法网上药店数量激增。许多此类网上药店向美国不知情的顾客出售和运送含有芬太尼的假药,这些顾客误以为自己是从合法药店购买的合法药品。
调查人员认定,这些网上药店的经营者及其同谋非法向全美各地的顾客分发和运送非法转移的药品,且没有有效的处方,违反了《受控物质法》,并危险地渗透到旨在保护患者安全的封闭分销系统中。在调查过程中,美国缉毒局(DEA)确认了数千名通过这些网上药店购买药品的顾客。随后,DEA向公众发出了超过2万封信函,请求提供信息以支持这项正在进行的调查。
“这起案件表明,境外贩毒分子如何利用我们的医疗保健系统,躲在互联网背后,并利用美国境内的人员,以合法商业的名义贩运危险药物,”美国缉毒局局长特伦斯·科尔表示。“非法网上药店将毒药带入美国社区。他们销售假冒伪劣和未经批准的药品,漠视受害者的安危。此类行动能够拯救生命,保护美国人民。如果您运营这些网站、为其提供药品、转移资金、运输药品或协助其运营,我们将找到您,我们将摧毁您的犯罪活动,并将根据美国法律追究您的全部责任。”
美国缉毒局(DEA)利用其全球影响力,积极与印度政府执法伙伴合作,识别、调查并瓦解从事此类非法毒品贩运活动的危险犯罪组织。通过联合行动,DEA将继续从源头打击非法药品分销商,并坚定不移地致力于切断威胁美国公民公共健康和安全的非法药品流通渠道。
暗网、加密货币和全球执法 例如,六年前美国缉毒局(DEA)发布的一份报告指出,在中国开始实施出口限制后,印度是芬太尼前体和成品阿片类药物出口到墨西哥的主要来源地。美国情报部门促使印度关闭了位于印多尔的一家非法芬太尼工厂,几年前,孟买缉毒小组缴获了100公斤芬太尼前体化学品,并逮捕了四人。鉴于青少年吸毒成瘾问题日益严重,在印度境内秘密流通的管制药物令人担忧。
利用暗网、社交媒体和加密货币等渠道贩运阿片类药物和其他管制药品的模式,应该给执法机构敲响警钟。八年前,中国曾被视为芬太尼走私的中心,但此后已转向加强对出口的执法力度。其他一些非法网络交易的场所,例如加拿大和西欧,也一直是美国缉毒局(DEA)执法行动的重点,包括四年前关闭销售假冒或管制药品的网站。
在印度,古吉拉特邦港口的一系列毒品查获事件,以及有报告指出国际恐怖组织可能利用印度通过毒品交易筹集大量资金,用于实施诸如帕哈尔加姆游客大屠杀之类的袭击,都凸显了保持高度警惕的必要性。加密货币在非法交易支付中的作用也必须受到密切审查。
印度金融行动特别工作组已提出监管加密货币的建议,强制虚拟资产服务提供商保留部分交易的发起人和受益人信息。将某些类型的支付排除在加密货币之外或许是一种可行的过滤机制。清理暗网是一项艰巨的任务,需要国际社会的协调行动。
在美国联邦调查局(FBI)的努力下,臭名昭著的俄罗斯暗网论坛RAMP的暗网和明网网站已被美国执法部门查封。RAMP,即“俄罗斯匿名市场”(Russian Anonymous Marketplace)的缩写,是一个以俄语为主的在线交易平台,自称是“唯一允许勒索软件存在的地方”,深受勒索软件即服务团伙、敲诈勒索者、初始访问经纪人和其他从事网络犯罪的不法分子青睐的
在其他一些论坛(例如XSS)被查封后,RAMP已成为少数几个仍能逍遥法外的网络犯罪论坛之一。XSS的领导人去年被欧洲刑警组织逮捕。这一真空使得RAMP成为传播勒索软件和其他网络威胁的人员买卖或交易产品和服务的主要场所之一。
美国联邦调查局 (FBI) 与佛罗里达州南区联邦检察官办公室和司法部计算机犯罪与知识产权部门协调,执行了此次查封行动。目前访问RAMP的暗网Tor域名(rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion)及其明网域名(ramp4u[.]io),两个域名显示内容完全相同,为一个醒目的页面,页面显示执法部门的横幅广告,上面写着:“本网站已被查封”,意味着FBI已接管RAMP的域名。
扣押横幅上写着,FBI与美国佛罗里达州南区检察官办公室和美国司法部(DoJ)计算机犯罪和知识产权科(CCIPS)合作查封了该网站。该通知还嘲讽了RAMP运营商,上面写着“勒索软件唯一允许的地方!”,并配上了一张俄罗斯卡通人物玛莎(俄罗斯热门儿童动画片《玛莎和熊》中眨眼的玛莎)眨眼的图片。这份扣押横幅上没有像其他类似行动那样印有任何其他国际执法机构的标志,只列出了FBI和司法部的印章,似乎强调本次查封是美国当局独立完成的。
经“暗网下/AWX”测试,RAMP明网网站的域名服务器(DNS)记录已经重定向到FBI经常用于打击非法活动的域名服务器:
Name Server: ns1.fbi.seized.gov
Name Server: ns2.fbi.seized.gov 由于RAMP的暗网域名也被查封,本站(anwangxia.com)认为,FBI应已获取了RAMP论坛用户数据库和其他敏感的网站信息,如电子邮件地址、IP地址、私人消息和其他可能构成犯罪证据的信息,也就意味着经常访问与使用该网站的用户可能会被执法部门追踪到。
目前尚无任何关于RAMP运营者或用户被捕或拘留的消息。查封通知邀请公众通过FBI的IC3门户网站提交线索。
RAMP的查封行动与此前针对其他网络犯罪论坛的类似行动相呼应,表明执法部门正持续努力打击犯罪基础设施。虽然官方尚未确认任何逮捕行动,但此次行动凸显了勒索软件即服务(RaaS)运营及其相关生态系统面临的日益严峻的压力。
RAMP宣称是唯一允许勒索软件传播的暗网论坛 RAMP于2012年创建,最初是一个运行在Tor网络上的暗网网站,但直到2021年才开始声名鹊起,其运营者与现已解散的Babuk勒索软件团伙有关联。RAMP论坛目前的形态是在XSS和Exploit(俄罗斯网络犯罪领域两大主要暗网论坛)以及英语论坛BreachForums禁止讨论勒索软件之后形成的。
RAMP(俄罗斯匿名市场)宣称是暗网上唯一能允许勒索软件的论坛,该平台服务于俄语、中文和英语用户,拥有超过14000名注册用户,尤其受到勒索软件组织及其附属机构的青睐。所有用户在注册前都经过严格审核,或支付500美元匿名参与。该论坛提供讨论组、网络攻击教程以及恶意软件和服务市场。其首席管理员表示,该网站在2024年的年收入为25万美元。
RAMP最初旨在连接勒索软件运营者、关联方和中间商,如今已发展成为勒索软件生态系统的核心枢纽,成为威胁行为者协作、招募和交易的场所。目前RAMP不仅仅是一个交流平台,它更是一个勒索软件市场,DragonForce、Qilin、Medusa、GLOBAL Group、Eldorado和LockBit等勒索软件团伙都在此活跃。这些团伙积极招募技术娴熟的成员,宣传新的勒索软件变种,并共享行动情报,所有这些都是为了扩大自身的影响力和能力。
RAMP论坛的管理员中有一位名叫米哈伊尔·马特维耶夫(Mikhail Matveev)的俄罗斯公民,他也使用过Orange、Wazawaka和BorisElcin等化名,他于2022年表示,已经该论坛的所有权将转移给一位名叫“Stallman”的黑客。马特维耶夫于2024年在俄罗斯被捕。
2023年,马特维耶夫因参与多起勒索软件攻击活动(包括Babuk、LockBit和Hive)而被美国司法部起诉,这些攻击的目标是美国医疗保健机构、执法机构和其他关键基础设施。他还受到美国财政部外国资产控制办公室的制裁,并被列入联邦调查局的通缉名单,美国国务院悬赏高达1000万美元,征集能够逮捕或定罪他的信息。
网名为“Stallman”的黑客在RAMP论坛被关闭时仍然是该论坛的管理员,网络安全情报显示,Stallman“在维护信任、执行规则和管理平台的技术运营方面发挥了核心作用”。
在被查封后,情报公司Red Sense的联合创始人Yelisey Bohuslavskiy在LinkedIn上发帖解释说,RAMP是由与俄罗斯安全部门关系密切的人员创建的,目的是为了应对勒索软件即服务(RaaS)的蔓延。
他表示,直到2020年,俄罗斯、白俄罗斯和乌克兰的执法部门对Ryuk、Conti、REvil、Maze、Ragnar、Netwalker等传统且组织严密的网络犯罪集团都有很强的可见性。
“这种可见性部分来自于安全相关管理员对漏洞利用和跨站脚本攻击的控制。随后,RaaS(风险即服务)呈爆炸式增长。这种模式失控地蔓延:甚至论坛管理员也对关联方完全没有控制权。而RAMP正是为了解决这个问题而开发的,”他补充道。
据专家称,RAMP是新兴的、中低层级的勒索软件组织宣传自身、提供服务并“尽可能提高知名度”的主要中心。
Flare的高级威胁情报研究员Tammy Harper将RAMP描述为“网络犯罪生态系统中最值得信赖的勒索软件相关论坛之一”。
她解释说,该平台“被广泛认为是一个高度可信的托管环境”,并且是勒索软件运营商、中间人和关联方的主要讨论中心。
CybaVerse的安全运营中心 (SOC) 经理Ben Clarke解释说,RAMP成功的原因是“它为犯罪分子提供了一个支持整个攻击链的市场,从购买被盗凭证、推广恶意软件到出售和购买勒索软件服务。”
据了解,包括LockBit、ALPHV/BlackCat、Conti、DragonForce、Qilin、Nova、Radiant和RansomHub在内的许多臭名昭著的勒索软件组织都曾在不同时期在这个论坛上活动过。
Stallman承认FBI已经控制RAMP论坛,暂无重建计划 THE RAMP ADMINISTRATOR CONFIRMED THE ATTACK. A user with the nickname Stallman on the forum XSS confirmed that the forum administration had lost control. Here is the text of the statement: To whom it may concern.
本周,欧洲刑警组织一项国际联合执法行动在暗网社区引发了强烈轰动,该执法行动捣毁了名为“Cryptomixer”的加密货币混币网站,据称该网站自2016年以来可以在暗网与明网同时访问,参与洗钱超过13亿欧元的比特币。
2025年12月1日,欧洲刑警组织宣布,欧洲司法组织和欧洲刑警组织与德国和瑞士当局密切合作,支持瑞士和德国执法部门于11月24日至28日在瑞士苏黎世开展的为期一周的执法行动,此次行动的重点是取缔非法加密货币混合服务“Cryptomixer”。
“Cryptomixer”为勒索软件团伙、地下经济论坛和暗网市场提供了洗钱工具,使其资金来源不明,“Cryptomixer”能够阻止资金在区块链上的追踪,使其成为网络犯罪分子洗钱的首选平台,这些非法所得来自各种犯罪活动,例如毒品走私、武器走私、勒索软件攻击和支付卡欺诈。
瑞士警方查获了“Cryptomixer”的三台服务器以及明网域名cryptomixer.io。此次行动缴获了超过12TB的数据和价值超过2500万欧元的比特币。在非法服务被接管并关闭后,执法部门在该网站上发布了查封公告。
除了令人瞩目的数字之外,此次行动还凸显了全球打击网络犯罪斗争的一个关键转变:犯罪分子不再藏身于实体场所,而是躲在旨在抹去其踪迹的不透明数字工具背后。
“Cryptomixer”是一项旨在掩盖犯罪资金来源的服务 近十年来,“Cryptomixer”一直在明网和暗网公开运营,提供看似简单的服务:混合或“翻滚”加密货币,使其无法追踪。用户将比特币发送到该平台,平台会将这些比特币与其他加密货币混合,然后以掩盖其来源的方式返还给用户。实际上,这项技术已成为依赖匿名性的犯罪集团的避风港——贩毒集团、军火走私犯、勒索软件集团、诈骗网络以及非法暗网市场的运营者。“Cryptomixer”与之前的混币工具不同之处在于其混合特性:它将日常互联网与暗网的隐秘角落连接起来,使其既适用于业余网络犯罪分子,也适用于专业犯罪集团。
这项历经数月协调的调查最终查获了价值超过2500万欧元(约合2910万美元)的加密货币、三台物理服务器、该平台的域名,以及高达12TB的数据——这些数据足以包含详细的交易记录、用户日志和内部软件工具。尽管当局尚未透露有多少嫌疑人被捕或被起诉,但官员强调,查获的数据可能有助于开展进一步的行动。
加密货币混合器本身并不违法。理论上,它们为不希望其金融活动在区块链上被追踪的用户提供了一种增强隐私的服务。但实际上,这些混合器已成为网络犯罪生态系统中最常被滥用的工具之一。其核心吸引力在于它们能够破坏区块链技术所依赖的可见所有权链。一旦资金被混合,追踪资金的难度将呈指数级增长——即使是配备先进分析技术的经验丰富的取证团队也难以做到。
来自不同用户的存款会被随机汇集一段较长时间,然后再随机分配到各个目标地址。由于许多数字货币都提供所有交易的公开账本,混币服务使得追踪特定币种变得困难,从而掩盖了加密货币的来源。
诸如“Cryptomixer”之类的混币服务为客户提供匿名性,犯罪分子通常使用此类服务将洗白后的资产转移到加密货币交易所。这样,经过“清洗”的加密货币就可以通过ATM机或银行账户兑换成其他加密货币或法定货币。
据报道,“Cryptomixer”的软件更加领先。调查人员称,该系统采用了多层技术,包括多阶段混合、随机交易路径和提现延迟,旨在阻挠区块链侦查。这些功能有效地使该服务成为勒索软件团伙的首选工具,他们需要在不引起当局注意的情况下快速洗钱。支付卡诈骗团伙和毒品贩运者也利用了这种匿名性,通过“Cryptomixer”付款以兑现利润或在线购买非法商品。
它在暗网市场的流行表明,它与网络犯罪供应链的联系更加紧密。非法毒品超市、被盗数据供应商和雇佣黑客的平台都利用这种混币器接收付款,而无需暴露运营账户。对犯罪分子而言,“你的比特币不会被追踪”这一保证极具吸引力。
与去中心化混币器不同,Cryptomixer似乎完全由一个中心化团队控制,这使其更容易受到执法检查和服务器查封。然而,其庞大的运营规模——处理超过13亿欧元的比特币——揭示了此类服务的巨大需求,以及加密货币生态系统中流动的巨额犯罪利润。
欧洲刑警组织的支持与努力 对于欧洲刑警组织欧洲网络犯罪中心(EC3)而言,此次行动是其打击地下数字经济基础设施系列行动中的又一里程碑。欧洲刑警组织的一位代表称“Cryptomixer”是“全球规模最大、技术最复杂的加密货币洗钱服务之一”,并指出其长期运营使其能够深度渗透到多个非法供应链中。
欧盟刑事司法合作机构欧洲司法组织(Eurojust)也强调了同步执法行动的重要性。该机构通过跨多个司法管辖区签发搜查令、搜查令和数据扣押令,帮助切断了“Cryptomixer”的运营——如果执法行动各自为政,这是不可能实现的。鉴于瑞士在金融保密方面的声誉以及其对数字资产调查的严格规定,瑞士的合作尤为值得关注。
执法官员日益强调,打击这些“帮凶”与逮捕网络犯罪分子本身同等重要。如果没有这些“洗钱者”,勒索软件的支付更容易追踪,毒贩转移资金的风险会更高,暗网市场也难以维持匿名性。正如一位调查人员所指出的,“如果关闭了洗钱中心,就等于关闭了一半的犯罪经济。”
Cryptomixer的查封符合全球执法战略中日益增长的趋势。过去三年,当局越来越多地将加密货币混合平台作为打击勒索软件集团和地下数字经济的行动目标。类似的行动也针对了欧洲最大的暗网市场Hydra、与朝鲜黑客有关联的混合平台Blender.io以及受美国财政部制裁的去中心化混合服务Tornado Cash。“暗网下/AWX”曾报道,欧洲刑警组织在2023年3月支持取缔了当时最大的加密货币混币服务“Chipmixer”。
“Cryptomixer”的倒闭无疑将再次引发关于政府应如何监管隐私增强技术的辩论。批评者认为,此次打击行动有可能将隐私本身定为犯罪,而支持者则反驳说,混币器绝大多数时候都服务于犯罪目的。但更大的矛盾在于,去中心化自由的理想与在如今只需轻点几下鼠标即可跨境犯罪的时代,执法实际需求之间的矛盾。
随着当局对缴获的大量数据进行分析,预计将会有更多人被捕并展开调查。这能否从根本上遏制犯罪活动,还是仅仅迫使犯罪分子转向更复杂、更分散的工具,目前尚不得而知。但就目前而言,“暗网下/AWX”认为,对“Cryptomixer”的联合打击标志着,在网络犯罪网络与试图阻止它们的国际执法机构之间持续斗争中,国际执法机构取得了一次重大而辉煌的胜利。
参与此次执法行动的国家与机构 参与国家:
德国:联邦刑事警察局(Bundeskcriminalamt);美因河畔法兰克福总检察长办公室网络犯罪中心 (Generalstaatsanwaltschaft法兰克福美因河畔, Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität) 瑞士:苏黎世市警察局(Stadtpolizei Zürich);苏黎世州警察局(Kantonspolizei Zürich);苏黎世检察官办公室 (Staatsanwaltschaft Zürich) 参与机构:
欧洲刑警组织 欧洲司法组织
今日,FBI查封了勒索软件团伙Scattered Lapsus$ Hunters使用的BreachForums域名(Breachforums.hn),正如前期“暗网下/AWX”报道,勒索组织针对Salesforce及其客户开展黑客攻击后开设了暗网泄密网站,而该域名是数据泄露网站在明网的镜像。
今年夏天,Breachforums[.]hn域名曾用于重新启动暗网数据泄露论坛Breachforums,但在一些核心运营管理员被捕后,该网站很快再次下线。根据“暗网下/AWX”之前的报道,今年6月份,法国执法部门逮捕了包括ShinyHunters、Hollow、Noct和Depressed在内的四名BreachForums成员,美国起诉了另一名BreachForums成员IntelBroker。7月份,ShinyHunters曾宣布重新启动 BreachForums,一个月后,新BreachForums论坛下线,ShinyHunters发布了一条带有PGP签名的消息,称该论坛的基础设施已被法国BL2C部门和FBI查封,并表示不会再重启。
本月初,该域名被Scattered Lapsus$ Hunters团伙转变为针对Salesforce数据泄露的网站,目的是勒索Salesforce以及受到影响的客户公司。根据“暗网下/AWX”之前的介绍,Scattered Lapsus$ Hunters团伙由与Scattered Spider、Lapsus$和ShinyHunters勒索软件团伙有关联的成员组成。
本周,Breachforums[.]hn域名已经无法访问,10月8日,该团伙在Telegram频道宣布不再运营明网域名。10月9日,Breachforums[.]hn域名被FBI接管,域名的NS服务器被切换为ns1.fbi.seized.gov和ns2.fbi.seized.gov,目前访问该域名显示巨大的扣押横幅。
根据扣押信息,在Scattered Lapsus$ Hunters团伙开始泄露Salesforce被盗数据之前,美国和法国的执法部门合作控制了BreachForums的所有网络基础设施。
FBI在X上称,联邦调查局及其合作伙伴已查封与BreachForums相关的域名。该犯罪市场平台被ShinyHunters、Baphomet和IntelBroker等团伙用于贩卖窃取数据并实施敲诈勒索。此次行动切断了犯罪分子利用该枢纽平台牟利、招募同伙及跨行业锁定受害者的关键通道,彰显了国际执法协同行动的威慑力——必将让网络犯罪幕后黑手付出代价。
The FBI and our partners have seized domains associated with BreachForums, a major criminal marketplace used by ShinyHunters, Baphomet, and IntelBroker to traffic stolen data and facilitate extortion.
This takedown removes access to a key hub used by these actors to monetize… pic.twitter.com/aiTRzFCIYU
— FBI (@FBI) October 12, 2025 对此,Scattered Lapsus$ Hunters团伙在Telegram频道挑衅道,扣押一个域名不会影响其行动,FBI还需要更加努力。
Scattered Lapsus$ Hunters团伙在Telegram频道发布声明回应明网域名被扣押 10月10日,Scattered Lapsus$ Hunters团伙在Telegram频道、暗网网站以及pastebin同步发布带有PGP签名的声明,确认Breachforums[.
美国司法部宣布,在一次国际执法行动中,美国新墨西哥州检察官办公室和联邦调查局阿尔伯克基外地办事处与荷兰警方共同捣毁了VerifTools市场,查获了多个向全球网络犯罪分子提供伪造身份证件的在线平台。
此次行动捣毁的“VerifTools”非法市场,是一个向世界各地的网络犯罪分子兜售伪造身份证件的大型地下市场,该市场负责制作和分发假驾照、护照和其他形式的身份证明,旨在规避验证系统并促进未经授权的账户接管,以绕过KYC检查并获得对在线账户进行未经授权的访问。
目前,VerifTools市场的两个明网域名(verif[.]tools和veriftools[.]net)和一个博客已被关闭,网站访问者被重定向至一个醒目的扣押页面,页面显示这是由美国联邦调查局根据美国地方法院签发的搜查令采取的扣押行动,托管VerifTools网站的服务器已经在荷兰阿姆斯特丹被查封,但尚不清楚该市场的管理员是谁。
虽然2个域名被扣押,但“暗网下/AWX”发现,几个小时后,新的域名就重新启动了。VerifTools背后的运营者于2025年8月28日发布Telegram公告,宣称他们已经在域名“veriftools[.]com”上重新启动了该服务,Whois信息显示该域名于2018年12月10日创建。
FBI取缔暗网市场VerifTools 美国联邦调查局(FBI)在发现了一起利用被盗个人身份信息(PII)未经授权访问加密货币账户和在区块链上进行非法转账的阴谋后,于2022年8月启动了“铁印行动”(Operation Iron Seal),对此展开了调查。
调查发现,VerifTools为美国所有50个州和多个外国司法管辖区提供高质量的伪造的数字和实体身份证件,并通过隐私增强钱包接受比特币(BTC)和门罗币(XMR)付款。通过使用加密货币混币服务和基于Tor的隐藏服务,VerifTools背后的运营商掩盖了交易轨迹和服务器位置。
该市场上每份文件的价格低至9美元,交易完全以加密货币进行,以逃避传统银行的审查。随后,联邦调查局探员在VerifTools平台测试交易,购买了伪造的新墨西哥州驾驶执照(每张证件仅售9美元),通过分析与这些购买相关的区块链记录,调查人员追踪到流经市场的约640万美元的非法收益,然后获取并验证了VerifTools的后端源代码。
FBI分析师部署了标准的DNS sinkholing技术,将VerifTools的顶级域名(TLD)重定向到政府控制的服务器,从而有效地中和了这些网站并保留了证据。
该暗网市场犯罪活动的范围之广以及伪造技术的复杂性对金融机构、在线服务和政府机构采用的身份验证协议构成了重大威胁。
“互联网不是犯罪分子的避难所。如果你制造或销售让犯罪分子冒充受害者的工具,你就参与了犯罪活动,”美国代理检察官瑞安·埃里森(Ryan Ellison)表示,“我们将使用一切合法手段,扰乱你的生意,夺走你的利润,并将你绳之以法。”没有任何一项行动比我们共同的努力更大。”
国际联合执法合作的又一次成功案例 VerifTools的取缔凸显了跨机构和国际合作的关键作用。美国司法部国际事务办公室与美国弗吉尼亚东区的检察官和调查人员合作,协调跨司法管辖区的法律行动。荷兰国家警察局和荷兰检察机关等国际合作伙伴提供了关键证据和执法援助。
荷兰国家警察局在一份联合声明中称,VerifTools是最大的虚假身份证件提供商之一。除了两台物理服务器外,执法部门还查获了超过21台虚拟服务器。
官员们还指出,该网站服务器上的整个基础设施都已被保护并复制,以供后续分析。在荷兰,伪造、提供虚假身份证明以及使用伪造支付工具最高可判处六年监禁。
“许多公司和机构使用所谓的‘了解你的客户’(KYC)验证,通常只需要身份证件照片即可。使用VerifTools,就可以绕过KYC控制,”荷兰警方表示。“犯罪分子热衷于使用VerifTools之类的平台,因为他们可以利用创建的文件进行欺诈,例如银行服务台欺诈和网络钓鱼。”
美国联邦调查局阿尔伯克基分部代理特别探员菲利普·拉塞尔(Philip Russell)强调了公共安全的影响:“取缔这个市场是保护公众免受欺诈和身份盗窃犯罪侵害的重要一步。我们将与合作伙伴一起,继续瞄准并摧毁犯罪分子所依赖的平台,无论他们在哪里运营。”
美国代理检察官瑞安·埃里森(Ryan Ellison)和代理特别探员菲利普·拉塞尔(Philip Russell)于2025年8月28日正式宣布扣押行动。
美国特勤局正在积极打击涉及信用卡、洗钱、加密货币诈骗或身份盗窃行动的金融欺诈。周三,在美国和荷兰当局领导的执法行动中,执法部门查封了BidenCash的多个域名,这是一个臭名昭著的暗网市场,专门窃取信用卡、个人信息和SSH访问权限,贩卖了超过1500万张被盗信用卡。
BidenCash是一个老牌非法信用卡商店 BidenCash是一个因出售泄露的信用卡信息而臭名昭著的老牌非法信用卡商店,自2022年3月推出以来,获得了巨大的关注。
在地下暗网中,非法信用卡商店已经存在二十多年了。最初,信用卡数据通常是通过PoS恶意软件大量收集的,这些恶意软件会从销售点(PoS)终端的内存中窃取暂时未加密的信用卡数据。后来,有人使用网络盗刷器窃取了信用卡信息,网络盗刷器是一种植入在线商店的恶意软件,用于在结账时收集顾客的付款详细信息。
BidenCash盗用了美国前总统拜登(Biden)的名字和形象,于2022年3月开始运营,主要用于出售被盗的信用卡号、泄露的凭证和个人信息,旨在填补大约一年前Joker’s Stash信用卡市场关闭以及俄罗斯当局查封包括Forum、TrumpDumps和UniCC在内的多家非法信用卡商店后留下的空白。
从一开始成立,BidenCash的管理员就试图吸引人们的注意力,不仅通过其设置的商店名称BidenCash,还通过泄露大量信用卡信息来吸引关注。
他们从2022年6月的一次小规模数据库泄露事件开始,该数据库包含数百万个电子邮件地址,但仅包含6600张信用卡信息。在2022年10月,BidenCash继续泄露了120万张信用卡,以推广其服务,其中大多数信用卡来自美国,有效期在2023年至2026年之间,覆盖地域范围广泛。2023年,该暗网市场又泄露了两个数据库,累计统计了超过400万张信用卡。
虽然BidenCash主要贩卖被盗信用卡数据,但它也提供被盗登录凭证,这些凭证可能允许远程访问服务器,从而可能引发更广泛的网络攻击。据网络安全公司SOCRadar称,其中包括批量出售的SSH凭证,另外,BidenCash还为客户提供自动购买工具和忠诚度系统等功能。
据报道,BidenCash背后的管理团队对其产品非常有信心,甚至推出了一项买家保护计划,对网站上出售已使用或无法使用信息的卖家进行惩罚。
SOCRadar今年早些时候在博客中写道:“拜登现金通过这些功能扩大了网络犯罪的规模和效率,使其成为对组织和个人的重大威胁。它在暗网生态系统中的角色凸显了此类平台在打击数字欺诈和盗窃方面所面临的挑战。”
BidenCash暗网域名被重定向至扣押域名 据称,近145个与BidenCash网络犯罪市场相关的暗网和明网域名被关闭。该非法商店在暗网上的域名现已重定向至美国特勤局设置的域名,该域名专门用于查封涉及非法活动的网站,其中,该信用卡交易市场在明网中的.asia后缀顶级域名也重定向到了特勤局的usssdomainseizure.com域名。
跳转后的官方查封域名显示的横幅告知访问者,作为美国特勤局(USSS)和联邦调查局领导的国际行动的一部分,美国执法部门已查封BidenCash域名。该扣押横幅展示了带有美国司法部、联邦调查局、美国特勤局和荷兰高科技犯罪部门的徽章。
此次行动得到了荷兰国家警察局(Politie)、非营利性安全组织ShadowServer基金会以及实时攻击面可视性公司Searchlight Cyber的支持。
美国司法部发布的一份新闻稿称,此次行动在明网和暗网上查获了与BidenCash市场相关的约145个域名,美国当局还没收了与BidenCash非法交易相关的加密货币资金,但未披露其价值。
据报道,在运营期间,BidenCash管理员对网站上进行的每笔交易都收取费用”,同时允许用户购买被盗的财务和个人信息,包括受感染服务器的访问凭据。
美国司法部(DOJ)表示,该非法暗网市场在鼎盛时期拥有超过11.7万名客户,并通过出售约1500万个支付卡号和大量个人信息,获得了1700万美元的收入。
美国司法部在一份声明中表示:“2022年10月至2023年2月期间,BidenCash市场免费公布了330万张被盗的个人信用卡,以推广其服务的使用。”
这些记录包含了犯罪分子进行欺诈性付款所需的一切信息。声明称:“被盗数据包括信用卡号、有效期、卡验证值(CVV)号码、账户持有人姓名、地址、电子邮件地址和电话号码。”
此次打击行动是在全球执法机构开展“猛禽行动”等行动之后开展的,就在上个月,“猛禽行动”在10个国家/地区逮捕了270人,并缴获了价值2亿美元的加密货币和现金,并摧毁了多个暗网贩毒平台。
不过周三下午,多个BidenCash的域名已恢复在线访问。司法部和联邦调查局尚未回应关于此次行动中是否有人被捕的置评请求。
因涉嫌洗钱网络犯罪收益和运营犯罪交易平台,德国联邦刑事警察局(又名Bundeskriminalamt或BKA)与法兰克福检察院中央打击网络犯罪局 (ZIT)查封了与加密货币交易所eXch相关的服务器基础设施,并关闭了“eXch”加密货币交易平台。该平台之前可通过明网域名eXch[.]cx和其他各种明网、暗网的地址访问。
在2025年4月30开展的执法行动中,当局还查获了8TB的数据和大量加密货币资产,包括比特币、以太币、莱特币和达世币,价值3400万欧元(3825万美元),这是BKA历史上第三大数字资产查获案例。
据BKA称,eXch[.]cx自2014年起就开展运营,提供加密货币兑换服务,允许用户兑换数字资产。它在明网(Clearnet)和暗网上均有服务。
BKA在一份声明中表示,eXch平台不遵守“了解你的客户”(KYC)规定,并在犯罪地下经济(UE)平台上特别宣传”其没有实施任何反洗钱措施”,导致网络犯罪和其他非法团伙的洗钱活动猖獗。
用户无需向该服务表明身份,也不会存储用户数据。因此,通过eXch平台进行加密货币兑换特别适合隐藏资金流动。
公告称:“自推出以来,估计已有价值19亿美元的加密货币通过eXch服务进行隐匿转移。”
“有人怀疑eXch专门接收犯罪分子使用的比特币。此外,据信,2025年2月21日遭黑客攻击的加密货币交易所Bybit被盗的15亿美元中,有一部分是通过eXch洗白的。”
多位区块链专家称,创纪录的Bybit加密货币盗窃案是由臭名昭著的朝鲜黑客组织“Lazarus”实施的。
eXch立即被指控参与了Lazarus的洗钱活动,但当时eXch强烈否认,并称一些可疑的资金流动只是孤立案例。
最终,eXch平台的运营者屈服于压力和加强的审查,于今年4月17日宣布计划于本月停止运营,并在2025年5月1日关闭所有运营。当局预料到了这一点,并获得了大量证据和痕迹。尽管准备时间很短,但该平台的数据库和相关的加密资产是安全的。在调查期间,ZIT和BKA与荷兰税务调查办公室(FIOD)密切合作。 ZIT和BKA认为,诉讼中获得的调查结果也将有助于调查大量其他网络犯罪。
eXch运营者在BitcoinTalk论坛上发布的消息中宣称,在“收到确认信息”称该平台是“跨大西洋行动的对象,该行动旨在强行关闭我们的项目并以‘洗钱和恐怖主义’的罪名起诉我们”后,该平台将关闭。
eXch声称:“我们绝对没有想过要为洗钱或恐怖主义等非法活动提供便利,而我们现在正被指控犯有这些罪行。我们也绝对没有动机去运营一个会让我们被视为罪犯的项目。这对我们来说毫无意义。”
尽管如此,BKA扣押eXch基础设施(即使不再活跃)仍可以帮助追踪被盗金额并识别使用该服务的网络犯罪分子。
该平台的运营商也未能逃脱责任,德国警方宣布他们涉嫌商业洗钱和运营犯罪在线交易平台。BKA表示,尽管自eXch宣布关闭服务以来时间有限,但他们还是设法获得了大量证据,从而促成了今天的执法行动。
德国联邦刑事警察局局长兼网络犯罪部门负责人卡斯滕·梅维斯表示:“我们再次查获了价值数百万美元的涉案加密货币,并关闭了一个数字洗钱平台,这笔交易创下了历史新高。此次事件的规模令人印象深刻地表明,网络犯罪正在以工业规模进行。我们将竭尽所能,继续加大地下经济的损失风险。我们的目标仍然是追究责任人的责任。”
德国中央打击网络犯罪局(ZIT)首席检察官本杰明·克劳斯博士补充道:“加密货币交易是地下经济的重要组成部分,用于隐藏非法活动(例如黑客攻击或交易被盗支付卡数据)的犯罪资金,从而使犯罪分子能够获取这些资金。因此,执法机构必须持续打击此类快速匿名的洗钱机会,并剥夺犯罪分子的犯罪所得,这一点至关重要。”
荷兰财政信息和调查局(FIOD)在一条声明中表示,正在“积极调查通过该掉期服务参与洗钱和其他非法活动的个人”。声明还补充道:“我们想明确一点:此次行动并非对隐私的攻击。我们尊重隐私权,并认识到其在数字时代的重要性。然而,当服务被严重滥用于犯罪时,我们将会采取行动。我们敦促所有参与非法活动的人立即停止。法律后果可能非常严重。隐私不是问题,犯罪滥用才是问题。”
“暗网下/AWX”获悉,近期,德国巴伐利亚州刑事警察局(BLKA)与德国中央网络犯罪检控局(ZCB)合作,在德国联邦刑事警察局(BKA)的支持下,捣毁了一个名为“Pygmalion”的大型暗网毒品交易市场,查获了该暗网商店使用的多台服务器和洋葱域名。经过数月的调查,该暗网商店的基础设施被摧毁,数人被捕。
目前该暗网商店的暗网域名已经被警方查封,访问Pygmalion商店之前使用的所有暗网域名后均会显示当局发出的扣押通知,告知访问者该暗网网站已被查封。扣押通知中写道:“这些犯罪内容已由联邦刑事警察局(BKA)代表巴伐利亚州网络犯罪检控中心(ZCB)查封。”
缉毒调查与大规模逮捕行动 BLKA于2025年4月24日发布的新闻稿显示,警方调查的重点是居住在巴伐利亚州的七名嫌疑人,他们被指控在全球范围内大规模包装和运输毒品。
该调查基于图林根州刑事警察局进行的单独调查的信息。通过深入的数据分析,BLKA专家能够建立巴伐利亚州、图林根州和北莱茵-威斯特法伦州犯罪之间的联系,并揭示多层次的犯罪者结构。最终在诺伊堡和艾希施泰特地区确定了包装商和托运商的物流网络。
在因戈尔施塔特刑事调查部门和邮政服务提供商的密切合作下,多批含有毒品的邮件在送达前被查获,这些邮件原本打算寄往世界各地的收件人。
2025年2月7日,BLKA警察部队在防暴警察和上巴伐利亚北部警察总部的支援下,根据先前获得的逮捕令逮捕了4名嫌疑人,包括3男1女,年龄在24岁至56岁之间。他们涉嫌组成一个负责包装和运送毒品给全球买家的团伙。逮捕行动分别在艾希施泰特区和多瑙河畔诺伊堡镇进行。
在对五处房产的联合突击搜查中,警方缴获了超过53公斤的毒品及非法药物,包括约30公斤甲基苯丙胺、2公斤海洛因和4公斤可卡因。此外,还缴获了约15万片受德国《药品法》管制的药片。
尤其引人注目的是这些毒品的专业储存和管理:许多毒品已被预先分装到约7000个真空密封袋中,准备分发。据官员们估计,这些被缴获的毒品零售价约为七位数欧元。
暗网商店“Pygmalion”的用户数据被警方获取 BLKA的网络贩毒调查部门(FARO)正在密切开展进一步调查。通过对查获的通信介质进行初步取证分析,调查人员发现了大量详细的记录,包括可追溯到2024年4月的客户数据和订单历史记录。初步取证分析显示,犯罪者保留了详细的会计记录,从中可以获取自2024年4月左右以来的至少7250份订单信息和相关客户数据。
这些信息不仅可以作为对被捕嫌疑人和其他被告的定罪证据,还可以识别提交订单的客户,也就是这些毒品的买家。
在此背景下,调查部门再次指出,通过互联网购买毒品——无论是在明网还是暗网——都不能免于刑事起诉。与许多此类暗网商店经营者的说法相反,订单数据通常会保存数年。这些数据通常构成刑事调查的宝贵证据链。
广泛的调查仍在进行中。被告人面临严重的刑事后果。由于犯罪行为涉嫌团伙化、有组织、专业化,且涉案毒品数量巨大,他们面临5至15年的监禁。
图林根州刑事警察局此前调查收集的数据揭示了此次行动的规模。一旦确定了巴伐利亚州、图林根州和北莱茵-威斯特法伦州的犯罪活动之间的联系,当局就能绘制出包括包装商、托运人和协调员在内的内部结构。
暗网市场的运营者提示:“低调行事” 在此次下架事件之后,一条据称是该暗网市场的运营者发布在Pastebin的消息通过重定向从现已关闭的“Pygmalion”暗网商店传播开来。消息内容如下:
Hey dear customers,
You’ve already heard it from the BKA: Our shop has been seized. Normally, this wouldn’t even be possible since we’re behind Tor—but Pygmalion had access to the server. This means customer data is likely now in the hands of the authorities.
To everyone who placed orders around April 2024 or later:
“暗网下/AWX”获悉,近日欧洲刑警组织(EUROPOL)宣布捣毁了一个大型的多发性CSAM(儿童性虐待材料)暗网网站,该网站在暗网上被称为“Kidflix”,类似于知名的流媒体服务“Netflix”,被认为是世界上最大的恋童癖平台之一。
在欧洲刑警组织的支持下,此次行动由德国巴伐利亚州刑事警察局(Bayerisches Landeskriminalamt)和巴伐利亚州网络犯罪起诉中央办公室(ZCB)牵头,全球有超过35个国家参与了此次行动的联合执法。
“Kidflix”因其CSAM网站的“独特”功能而声名狼藉,该网站由一名网络犯罪分子于2021年创建的,他从中获利颇丰,很快成为恋童癖者中最受欢迎的平台之一。该网站使用流传输,允许用户根据视频质量进行过滤,观看性虐待儿童的直播,并在购买前预览视频。此外,在暗网网站上活跃、分享内容、制作独特内容等的个人可以获得“Kidflix代币”,从而可以免费获得其他CSAM资料。此外,该暗网网站在活跃期间上传和分享了91,000个独特视频,平均每小时约有3.5个独一无二的新CSAM视频上传进来,网站上共有6288小时(262天)的CSAM视频。
欧洲刑警组织的新闻稿称:“与其他此类已知平台不同,Kidflix不仅使用户能够下载CSAM,还可以流传输视频文件。用户使用加密货币付款,随后将其转换为代币。通过上传CSAM,验证视频标题和描述以及将类别分配给视频,犯罪者可以获得代币,然后将其用于查看内容。每个视频都上传了多个版本——低、中和高质量——允许犯罪分子预览内容并支付费用以解锁更高质量的版本。”
2022年4月至2025年3月期间,全球共有180万用户登录该平台。2025年3月11日,被德国和荷兰当局查封的时候,该暗网网站的服务器里存储有约72,000多部CSAM视频,其中许多视频此前执法部门都不掌握。
通过此次行动,全球有近1400名嫌疑人被确认。到目前为止,其中79人因分享和传播儿童性虐待材料(CSAM)而被捕。一些被捕者不仅上传和观看视频,还虐待儿童。调查仍在进行中。欧洲刑警组织表示,他们将继续与其他国家的执法机构合作,追究在“Kidflix”上犯下罪行的每个人的责任。
此次行动被称为“流行动”(Operation Stream),是欧洲刑警组织专家打击儿童性剥削行动中规模最大的一次行动,也是该执法机构近年来支持的最大案件之一。
调查期间,欧洲刑警组织欧洲网络犯罪中心(EC3)的分析师通过分析数千段视频,为各国当局提供了强有力的行动支持。欧洲刑警组织的专家还对所有可用数据进行了交叉核对,并向相关国家提供了证据,以促进调查。
鉴于案件规模,欧洲刑警组织在调查和行动日期间协调信息交流的作用对案件的成功至关重要。召集合作伙伴进行跨境合作和联合行动是欧洲刑警组织的主要优先事项之一,旨在加强打击各种形式的严重国际和有组织犯罪、网络犯罪和恐怖主义。
此次行动已经取得的成果 针对该暗网网站的调查于2022年开始,打击行动从2025年3月10日开始到3月23日结束。到目前为止,已取得以下成果:
已确认1393名嫌疑人 逮捕79名犯罪嫌疑人 查获3000多件电子设备 39名儿童受到保护 已经确定的嫌疑人中有63人来自英国,其中30人已经被捕 本站(anwangxia.com)从英国媒体针对该事件的报道中得知,此次行动调查确定的全球近1400名嫌疑人中,包括63名来自英国的嫌疑人;因分享和传播儿童性虐待材料而被捕的79人中,有30人来自英国。
北爱尔兰警察局现已证实,3名英国嫌疑人来自北爱尔兰,目前已逮捕2人,并搜查了3处房产。3月19日,警方在科莱雷恩逮捕了一名26岁的男子,并从他家中缴获了2台设备。同一天,警方还逮捕了一名34岁的邓唐纳德男子,并从他家中缴获了5台设备。3月20日,警方又搜查了一名40岁的德里男子的家,并缴获了6台设备。目前,这3人均已被释放,等待进一步调查。
北爱尔兰警察局发言人表示:“由于这是一项正在进行的现场调查,北爱尔兰警察局目前无法发表进一步的评论。”除了北爱尔兰警察局外,还有其他27个警察部门获得了有关该暗网网站潜在用户的情报。
欧洲各级官员称将严惩此类针对儿童的犯罪 NCA高级经理Neil Keeping表示:“感谢我们在德国和欧洲刑警组织的执法合作伙伴,一个包含数万个儿童性虐待视频的危险网站已被关闭。NCA情报人员迅速采取行动,确定了该网站的英国用户,并向全国各地的部队提供了一套情报,以便警方逮捕嫌疑人并保护儿童的安全。从全球到地方采取这种应对措施对于我们保护儿童免遭性虐待和寻找此类内容的犯罪分子的侵害至关重要。我们将继续与国际执法伙伴合作,摧毁纯粹为了满足犯罪分子性需求而在暗网上运营的在线平台,并确保儿童免受虐待。”
欧洲刑警组织执行主任凯瑟琳·德博勒表示:“数字化推动了网络儿童性剥削的快速发展,为犯罪者提供了一个无国界的平台,让他们可以联系和引诱受害者,以及制作、存储和交换儿童性虐待材料。有些人试图将此归结为技术或网络问题——但事实并非如此。这些犯罪背后有真正的受害者,这些受害者是儿童。作为一个社会,我们必须采取行动保护我们的孩子。”
欧盟内政和移民事务专员马格努斯·布伦纳表示:“摧毁这个犯罪网络表明了欧洲刑警组织等欧盟机构提供的附加价值。这正是欧盟委员会提出加强欧洲安全战略的原因。犯罪分子跨境活动,因此我们也必须支持调查人员这样做。”
从网上到线下,欧盟正在优先开展工作 儿童性剥削(CSE)是最近发布的欧盟严重有组织犯罪威胁评估报告(EU-SOCTA)中确定的欧盟内部安全的主要威胁之一。数字化维度引发了在线CSE的快速发展,为犯罪者提供了一个无边界平台来联系和诱骗受害者,以及创建、存储和交换CSAM。这一趋势将在未来几年继续增长。
然而,网络世界并非匿名。“流行动”中确定的大多数嫌疑人都与欧洲刑警组织数据库中的记录相匹配,这证明大多数从事儿童性剥削的罪犯都是惯犯,执法部门并非不知道。
儿童性剥削是一个重大威胁,因此也是欧盟打击严重有组织犯罪的优先事项之一。自2017年以来,欧洲刑警组织一直在开展“制止虐待儿童——追踪物品”倡议,鼓励公民识别物品以帮助警方拯救受虐儿童。
应欧盟成员国和其他合作伙伴的要求,欧洲刑警组织每年两次举办受害者识别工作组,这是一项将执法部门聚集在一起以开展本地调查并识别受害者的举措。德国和澳大利亚的儿童从该项目中受益,并获得了保护。
参与国家 1.阿尔巴尼亚:阿尔巴尼亚国家警察、刑事警察局网络犯罪调查局和特别行动部队局 (Policia e Shtetit, Drejtoria për Hetimin e Krimeve Kibernetike, Drejtoria e Forcës së Posaçme Operacionale) 2.澳大利亚:澳大利亚联邦警察 (AFP) 3.奥地利:刑事情报局(Bundeskcriminalamt) 4.比利时:比利时联邦警察 (Federale Politie / Police Fédérale) 5.保加利亚:网络犯罪总局 – 内政部打击有组织犯罪总局 (Дирекция “Киберпрестъпност” – Главна дирекция “Борба с организираната престъпност”, Министерство на вътрешните работи) 6.