在美国联邦调查局(FBI)的努力下,臭名昭著的俄罗斯暗网论坛RAMP的暗网和明网网站已被美国执法部门查封。RAMP,即“俄罗斯匿名市场”(Russian Anonymous Marketplace)的缩写,是一个以俄语为主的在线交易平台,自称是“唯一允许勒索软件存在的地方”,深受勒索软件即服务团伙、敲诈勒索者、初始访问经纪人和其他从事网络犯罪的不法分子青睐的
在其他一些论坛(例如XSS)被查封后,RAMP已成为少数几个仍能逍遥法外的网络犯罪论坛之一。XSS的领导人去年被欧洲刑警组织逮捕。这一真空使得RAMP成为传播勒索软件和其他网络威胁的人员买卖或交易产品和服务的主要场所之一。
美国联邦调查局 (FBI) 与佛罗里达州南区联邦检察官办公室和司法部计算机犯罪与知识产权部门协调,执行了此次查封行动。目前访问RAMP的暗网Tor域名(rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion)及其明网域名(ramp4u[.]io),两个域名显示内容完全相同,为一个醒目的页面,页面显示执法部门的横幅广告,上面写着:“本网站已被查封”,意味着FBI已接管RAMP的域名。
扣押横幅上写着,FBI与美国佛罗里达州南区检察官办公室和美国司法部(DoJ)计算机犯罪和知识产权科(CCIPS)合作查封了该网站。该通知还嘲讽了RAMP运营商,上面写着“勒索软件唯一允许的地方!”,并配上了一张俄罗斯卡通人物玛莎(俄罗斯热门儿童动画片《玛莎和熊》中眨眼的玛莎)眨眼的图片。这份扣押横幅上没有像其他类似行动那样印有任何其他国际执法机构的标志,只列出了FBI和司法部的印章,似乎强调本次查封是美国当局独立完成的。
经“暗网下/AWX”测试,RAMP明网网站的域名服务器(DNS)记录已经重定向到FBI经常用于打击非法活动的域名服务器:
Name Server: ns1.fbi.seized.gov
Name Server: ns2.fbi.seized.gov 由于RAMP的暗网域名也被查封,本站(anwangxia.com)认为,FBI应已获取了RAMP论坛用户数据库和其他敏感的网站信息,如电子邮件地址、IP地址、私人消息和其他可能构成犯罪证据的信息,也就意味着经常访问与使用该网站的用户可能会被执法部门追踪到。
目前尚无任何关于RAMP运营者或用户被捕或拘留的消息。查封通知邀请公众通过FBI的IC3门户网站提交线索。
RAMP的查封行动与此前针对其他网络犯罪论坛的类似行动相呼应,表明执法部门正持续努力打击犯罪基础设施。虽然官方尚未确认任何逮捕行动,但此次行动凸显了勒索软件即服务(RaaS)运营及其相关生态系统面临的日益严峻的压力。
RAMP宣称是唯一允许勒索软件传播的暗网论坛 RAMP于2012年创建,最初是一个运行在Tor网络上的暗网网站,但直到2021年才开始声名鹊起,其运营者与现已解散的Babuk勒索软件团伙有关联。RAMP论坛目前的形态是在XSS和Exploit(俄罗斯网络犯罪领域两大主要暗网论坛)以及英语论坛BreachForums禁止讨论勒索软件之后形成的。
RAMP(俄罗斯匿名市场)宣称是暗网上唯一能允许勒索软件的论坛,该平台服务于俄语、中文和英语用户,拥有超过14000名注册用户,尤其受到勒索软件组织及其附属机构的青睐。所有用户在注册前都经过严格审核,或支付500美元匿名参与。该论坛提供讨论组、网络攻击教程以及恶意软件和服务市场。其首席管理员表示,该网站在2024年的年收入为25万美元。
RAMP最初旨在连接勒索软件运营者、关联方和中间商,如今已发展成为勒索软件生态系统的核心枢纽,成为威胁行为者协作、招募和交易的场所。目前RAMP不仅仅是一个交流平台,它更是一个勒索软件市场,DragonForce、Qilin、Medusa、GLOBAL Group、Eldorado和LockBit等勒索软件团伙都在此活跃。这些团伙积极招募技术娴熟的成员,宣传新的勒索软件变种,并共享行动情报,所有这些都是为了扩大自身的影响力和能力。
RAMP论坛的管理员中有一位名叫米哈伊尔·马特维耶夫(Mikhail Matveev)的俄罗斯公民,他也使用过Orange、Wazawaka和BorisElcin等化名,他于2022年表示,已经该论坛的所有权将转移给一位名叫“Stallman”的黑客。马特维耶夫于2024年在俄罗斯被捕。
2023年,马特维耶夫因参与多起勒索软件攻击活动(包括Babuk、LockBit和Hive)而被美国司法部起诉,这些攻击的目标是美国医疗保健机构、执法机构和其他关键基础设施。他还受到美国财政部外国资产控制办公室的制裁,并被列入联邦调查局的通缉名单,美国国务院悬赏高达1000万美元,征集能够逮捕或定罪他的信息。
网名为“Stallman”的黑客在RAMP论坛被关闭时仍然是该论坛的管理员,网络安全情报显示,Stallman“在维护信任、执行规则和管理平台的技术运营方面发挥了核心作用”。
在被查封后,情报公司Red Sense的联合创始人Yelisey Bohuslavskiy在LinkedIn上发帖解释说,RAMP是由与俄罗斯安全部门关系密切的人员创建的,目的是为了应对勒索软件即服务(RaaS)的蔓延。
他表示,直到2020年,俄罗斯、白俄罗斯和乌克兰的执法部门对Ryuk、Conti、REvil、Maze、Ragnar、Netwalker等传统且组织严密的网络犯罪集团都有很强的可见性。
“这种可见性部分来自于安全相关管理员对漏洞利用和跨站脚本攻击的控制。随后,RaaS(风险即服务)呈爆炸式增长。这种模式失控地蔓延:甚至论坛管理员也对关联方完全没有控制权。而RAMP正是为了解决这个问题而开发的,”他补充道。
据专家称,RAMP是新兴的、中低层级的勒索软件组织宣传自身、提供服务并“尽可能提高知名度”的主要中心。
Flare的高级威胁情报研究员Tammy Harper将RAMP描述为“网络犯罪生态系统中最值得信赖的勒索软件相关论坛之一”。
她解释说,该平台“被广泛认为是一个高度可信的托管环境”,并且是勒索软件运营商、中间人和关联方的主要讨论中心。
CybaVerse的安全运营中心 (SOC) 经理Ben Clarke解释说,RAMP成功的原因是“它为犯罪分子提供了一个支持整个攻击链的市场,从购买被盗凭证、推广恶意软件到出售和购买勒索软件服务。”
据了解,包括LockBit、ALPHV/BlackCat、Conti、DragonForce、Qilin、Nova、Radiant和RansomHub在内的许多臭名昭著的勒索软件组织都曾在不同时期在这个论坛上活动过。
Stallman承认FBI已经控制RAMP论坛,暂无重建计划 THE RAMP ADMINISTRATOR CONFIRMED THE ATTACK. A user with the nickname Stallman on the forum XSS confirmed that the forum administration had lost control. Here is the text of the statement: To whom it may concern.
自从后缀为bf的新BreachForums出现后,原BreachForums的管理员HasanBroker一直表示该BreachForums(breachforums[.]bf)系冒牌货,并称自己将努力恢复真正的BreachForums,并重塑辉煌。终于在1月17日,HasanBroker在其Telegram频道宣布了另一个新BreachForums的诞生,开放邀请大家注册。
“暗网下/AWX”看到,HasanBroker创建的BreachForums是基于论坛程序XenForo搭建的,而传统的BreachForums都是使用论坛程序MyBB,或许是由于MyBB可能存在一些不确定漏洞的缘故。
HasanBroker的新版本BreachForums明网与暗网地址如下:
明网地址:breachforums[.]cz
暗网地址:http://breach5yz2b5lepmq4gaqwcon3jippw3bislhvvdavem5git55sy2nid[.]onion
在宣布该新BreachForums(breachforums[.]cz)成立的公告中,HasanBroker宣称,BreachForums已经不复存在,支离破碎,影响力日渐式微。如今剩下的只有噪音、诱饵陷阱和那些试图取代昔日辉煌的平台。该新论坛旨在重建一个专注于信息、技术讨论和社区驱动的交流空间,摒弃一切浮夸作秀、虚假承诺和虚伪伪装。
HasanBroker称,他无意改写历史,也并非觊觎从未正式传承的头衔。这无关所有权,而是关乎方向。他们将回归这些论坛的初心:赚钱、恶搞、突袭、数据泄露、数据交易,以及最重要的——享受乐趣。
HasanBroker表示,注册受到严格限制。所有申请均需人工审核,审核标准包括:
展现出的操作意识 行为规范且具备常识 HasanBroker提醒道,不使用Gmail等邮箱就能很好地证明这一点,并举例说cock.li是一个不错的隐私选择。
HasanBroker承诺新BreachForums保持匿名,并致力于最大限度地减少不必要的曝光。他们已采取措施规避不记录IP地址的问题,并从论坛软件中彻底移除了该功能。目前,他们仅通过服务器日志记录IP地址,以防止DDoS攻击,但无法追踪到目标用户,且日志每天都会被删除。
HasanBroker要求使用VPN或Tor浏览器访问他的新BreachForums
最后,HasanBroker宣布:
如果您想恶意捣乱、攻击或制造全球性事件——这里正是您理想的去处。
如果您正在寻找一个重视谨慎、贡献和持续性的社区——欢迎您。
愿上帝保佑我们的论坛,消灭它的敌人。
BreachForums万岁!
此外,HasanBroker在Telegram频道表示,虽然随着所有重要工作的完成,新BreachForums论坛已搭建完成正式上线,但还会有更多的更新,如SMTP服务器还需要时间完善,注册采用手动审核机制,不过这部分问题不算太严重。太阳已在BreachForums论坛升起,照亮了那些骗子。
HasanBroker称在Telegram和其他平台上的活跃度将相对减少,专门使用BreachForums进行数据交易等,除非情况发生变化。接下来几天将添加Shoutbox和Escrow功能。HasanBroker提醒,无论多么有吸引力,切勿让任何平台剥夺您的操作安全权利。始终使用VPN或Tor,如果担心后门,可以两者都用。
近2天的Telegram频道公告发布了该论坛的更新,将Tor图标移至Clearnet主界面(此前图标显示位置错误,即使用户退出Tor网络,图标仍会保留),升级后相关问题已得到解决。另外,HasanBroker宣布了接下来将要开发的功能或者将要进行的活动:
完整的托管系统 向我们的成员颁发奖励 可能的赠品活动 ShinyHunters和其他团体发布的高质量数据 广告系统 喊话箱 对于“广告系统”,HasanBroker解释道,每个横幅将是一个N/A模板,直到有人决定为其支付1000积分,这些积分可以通过活跃度获得或支付35欧元。一旦你这样做,它将进入审批队列,并可以由工作人员接受——如果被拒绝,你将获得积分返还,并且可以再次申请。常见问题将显示你需要避免的审批事项。
对于“托管系统”,HasanBroker解释道,每个人都知道托管是如何运作的,它是任何论坛的重要结构,尤其是像BreachForums这样的论坛——你提交你的数据,买家提交资金,当双方都批准时,交易发生,否则,资金将自动从任一方退回。
对于“喊话箱”,HasanBroker解释道,虽然有点晚,但他们正在重新设计在MyBB软件上使用的原始喊话箱,但由于新BreachForums使用的是XenForo,设计上有些不同,它将很快发布,比之前的系统快得多。
经测试,截止发稿,从零开始的新BreachForums论坛的注册用户已经250多人,帖子数目60多篇,活跃度渐增,发展势头很明显。HasanBroker的新BreachForums(breachforums[.]cz)是否能够超越或者替代Indra的新BreachForums(breachforums[.]bf),FBI等执法部门对此后起之秀是否有新的执法行动,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
几天前,“暗网下/AWX”报道了新的暗网论坛BreachForums再次出现,且无法确定其背后是什么人在运营,当时据称“由于持续的技术问题和大规模DDoS攻击”,该论坛仅可访问,但无法登录。目前,该论坛已经可以在明网正常登录发贴,但暗网地址依旧无法访问。
此外,威胁行为者之间的战争仍在持续。闪光猎手组织在shinyhunte[.]rs网站上发布了更多人肉线索与内幕,为警方打击提供了更多的便利。
新BreachForums再次恢复了访问 正如前期介绍,新的BreachForums使用之前公开泄露的BreachForums备份进行搭建,因此前期的BreachForums用户均无需注册即可访问。
在技术问题和大规模DDoS攻击问题解决之后,新的BreachForums再次开放访问,该论坛目前添加了DDOS-GUARD来防护DDoS攻击,在明网访问的速度还不错。
虽然许多传言显示新BreachForums是蜜罐,但由于缺少有力的竞争对手,该论坛依旧收获了大量粉丝。从论坛的在线状态看,一小时在线用户1000人,注册用户占1/5,在没有大规模推广的背景下,已经收获了相当大的人气。
上次已经介绍,新的BreachForums发布的明网与暗网地址如下(仅供网络安全研究人员与警方调查研究使用):
明网地址:breachforums[.]bf
暗网地址:http://breachedmw4otc2lhx7nqe4wyxfhpvy32ooz26opvqkmmrbg73c7ooad[.]onion
威胁行为者之间的内讧刚刚开始 上次已经介绍,在新BreachForums背后,至少有两波人在交战:一方自称是闪光猎人(ShinyHunters),另一方则是散落的拉普斯猎人(Scattered Lapsus$ Hunters,简称SLSH)。
黑客团伙ShinyHunters与勒索软件团伙Scattered LAPSUS$ Hunters(简称SLSH)的内部冲突正在升级,一方宣称可以向联邦调查局、BL2C、国际刑警组织免费提供另一方的犯罪线索。根据对shinyhunte[.]rs网站更新内容的整理,时间线如下:
2025年10月16日:网站发布消息,直接威胁名为“James”的法国人(疑似代号S.E./X*K)。消息声称真正的ShinyHunters正在完成FBI未竟的事业,语气敌对,这是威胁行为者之间首次公开升级。
2025年10月21日:发布一封信件风格的消息,针对“James”,警告他选择的道路带来的后果比想象中更严重,断绝后路绝非明智之举。引用拉丁语短语“sic transit gloria mundi”(世间荣华转瞬即逝),并警告每一步行动都将引发远超预期的连锁反应。
2025年12月14日:否认与#SLSH(Scattered LAPSUS$ Hunters)联盟的传闻。同时链接BreachForums重启(可能试图为疑似蜜罐操作正名)。威胁如果James不回应,将在24小时内公开曝光其信息。
2025年12月18日:发布详细的PGP签名声明,附带倒计时器和逮捕照片(涉及Yuro,即A.E.,以及Trihash,即R.L.)。指控法国人“James”通过滥用信任窃取Trihash的PGP密钥,并未经其他成员同意便实施了针对Salesforce的攻击行动。声明称,归咎于ShinyHunters与SLSH的勒索事件,主要由S.E.(别名X*K,亦使用化名“James”)策划实施,他已不再是ShinyHunters(SH)成员。
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
Statement Regarding the Shiny Hunters and Scattered Spider Groups
The Shiny Hunters group includes several members, one of whom goes by the name “James.” Following the arrests of Yuro (A.E.) and, more recently, Trihash (R.L.), this individual has been attempting to divert investigators’ attention by leading them toward false trails.
网络犯罪分子、执法人员和研究人员都熟知的臭名昭著的BreachForums论坛最近又再次回归,在暗网与明网可以同时访问。
一些之前在论坛注册的用户最近收到了邮件,声称BreachForums已经重新开放并恢复了所有功能。邮件中断言内部技术问题已经解决,所有账户、帖子和内容现在都可以正常访问。
而与上次使用泰国、赞比亚等多国警方的被盗gov邮箱发送推广邮件相似,这次的发件人的电子邮件地址是:[email protected]。interieur.gouv.fr域名属于法国内政部。也就是说,从法国政府官方域名发送的电子邮件告诉黑客,BreachForums 已恢复上线,并邀请他们注册发帖。
于是所有人都怀疑这是一次来自执法机构的网络钓鱼攻击——更准确地说,是一个引诱网络犯罪分子的蜜罐,使用之前公开泄露的BreachForums备份搭建的。
Hey @Interieur_Gouv, thanks for the "exciting" BreachForums reopening alert straight from your official email—super convincing, guys! 😏
But real talk: any chance you could prioritize finding my stolen laptop instead of running this obvious honeypot op on us security… pic.twitter.com/BSgCOzHrbC
— Aleksandr Litreev (@alexlitreev) December 14, 2025 研究人员纷纷表示,暗网市场的所谓“复活”首先应持怀疑态度,这个伪装成BreachForums重启的网站是利用法国内政部域名发送通知邮件的诱饵陷阱,用户的访问记录及帖文内容极可能被用作执法证据。
然而,新成立的BreachForums论坛的运营者Indra声称,新BreachForums并非蜜罐,他们只是使用入侵获取的法国内政部邮箱发送推广邮件。
Indra宣称对此次针对法国内政部的网络攻击负责,他在声明中吹嘘,他们已获取了两个数据库的信息:TAJ(司法记录处理系统)和PFR(通缉犯档案)以及电子邮件。据报道,此次数据泄露事件影响了约1600万人。
截至目前,Indra称其仍可访问法国内政部的CHEOPS门户系统。研究人员认为黑客看起来正在使用法国内政部的Roundcube邮件系统发送电子邮件。
新BreachForums论坛管理员Indra的声明 管理员Indra于12 月13日在Breachforums发布一篇新的公告声明,对“蜜罐”事件及其他相关报道造成的误解深表歉意,对社区关注的事情进行了解释,并直接指责法国当局,提到了去年夏天在法国发生的逮捕事件。
管理员Indra在帖子中称,BreachForums”最初是“ShinyHunters/hollow”以及他们之前的另一个组织的项目。他们的整个组织(hollow、shiny等等)都被逮捕了。只有一个人拥有最初的“ShinyHunters PGP”密钥,而这个人是其朋友,但是他们之间产生了矛盾。因此,“诱饵”、“蜜罐”信息是假的,只是想关闭BreachForums,所以其就照做了。
Indra表示,在关闭网站并于15天内所有域名被查封后,相信大家都认为他们是FBI探员之类的。但显然们不是,他们会向BreachForums社区证明这一点。Indra宣布,为了报复被捕的朋友,他们已成功攻陷“MININT”——法国内政部。
Indra称,正如法国新闻报道的那样,法国内政部只承认政府私人电子邮件服务器被非法访问。但他们们绝口不提从警方档案中获取的16,444,373名个人的数据?
Indra问道,你们知道“TAJ”(Traitement d’Antécédents Judiciaires——犯罪记录处理系统)吗? “FPR”(Fichier des Personnes Recherchées——通缉犯数据库)呢?还有更多。国际刑警组织呢?你们是不是试图向他们隐瞒我们入侵“EASF MI”系统的事实?此外,你们为什么不向法国人民和全世界说明那两周究竟发生了什么?公共财政部门( DGFIP)呢?为什么只字未提?养老金部门( CNAV)呢?
Dread是全球最大的暗网论坛,于2018年2月上线,拥有成千上万名活跃用户。最近该暗网论坛遇到了两件糟心的事情,一是服务器故障导致论坛服务无法正常访问,二是其管理员在Reddit论坛发布一条带有PGP签名的宕机通知后,账号被Reddit封禁。
Dread论坛的管理员HugBunter在最大的明网论坛Reddit拥有一个账号hugbunt3r,用于发布Dread论坛相关通知事项,如离线、宕机、被DDoS攻击等状态。根据Sam Bent的报道,Reddit论坛近期封禁了HugBunter在Reddit的整个账号“hugbunt3r”,HugBunter将无法再在Reddit论坛发布有关Dread的任何信息。
[November 19th] Dread server outage
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 [November 19th, 2025] Hi! We have been down for many hours now, the servers are up and running, however I am experiencing an issue causing the main VM to crash. This means that, currently, the web server is not running and you won't be able to pass the captcha to access Dread. I am working on this issue and will be trying to avoid sleeping until it is back up and running.
“暗网下/AWX”曾经介绍,DarkForums是一个与BreachForums类似的暗网被盗数据交易论坛,在暗网与明网均可以访问,声称可以提供任何目标的多种类型数据。据观察,自从BreachForums销声匿迹后,DarkForums发展迅猛,已经拥有将近7.5万用户,逐渐取代BreachForums。
根据DarkForums对自己的宣传,其云端存储拥有来自欧洲、亚洲、非洲、美洲、澳大利亚等六大洲目标对象的各类数据,覆盖65+个国家,这些数据都是顶级品质,包括:
⭐️军事文件数据库 ⭐️企业完整数据库 ⭐️证件扫描件(身份证-驾照-护照) ⭐️消费者信息数据库 ⭐️电话号码数据库 ⭐️电子邮箱数据库 ⭐️外汇与加密货币数据库 ⭐️赌场及游戏数据库 ⭐️号码:密码 & 邮箱 & 用户名:密码 ⭐️公民身份号 & 社会安全号 & 税务号数据库 ⭐️大型网站数据库 ⭐️去哈希化数据及其他大型云端资源 DarkForums表示,其海量数据储备是未遭破坏的原始数据库,极度新鲜且私密,且支持用户自定义请求,有顶级品质保障。其全天候更新档案库,客服24/7全天候在线支持。
根据网站发布的套餐价格,1个月套餐售价200美元,3个月套餐售价为400美元,而终身套餐售价为1000美元,免费神级升级包含在3个月及终身套餐中。
DarkForums设置了三种类型的网站会员等级:VIP会员订阅价格为20欧元/999年,MVP会员订阅价格为40欧元/终身,GOD会员订阅价格为80欧元/终身。
根据公告,DarkForums提供的暗网V3域名为:http://qeei4m7a2tve6ityewnezvcnf647onsqbmdbmlcw4y5pr6uwwfwa35yd[.]onion
除了暗网地址外,该网站同步提供了几个明网镜像地址:
https://df[.]hn
https://df[.]kiwi
https://darkforums[.]st
此外,该网站还拥有域名https://darkforums[.]me,页面显示该域名的所有者为Knox,同时显示了DarkForums的暗网与明网域名,但未作跳转。
根据DarkForums的统计数据,该暗网数据泄露论坛已经拥有超过2.5万的主题帖,近25万的回复帖,近7.5万的注册用户,最多同时在线人数接近2万,可见其人气非常旺,但不知能够坚持几日。
DarkForums称其余自称新BreachForums的论坛都是虚假的 在FBI查封域名BreachForums.hn后,DarkForums发布警告称,虽然互联网上已出现多个冒牌或克隆网站,自称是“新BreachForums”,但它们与原版BreachForums团队毫无关联,都是为了欺骗、钓鱼或窃取用户数据。而DarkForums才是目前该领域唯一活跃且合法的主要社区。
对于本站(anwangxia.com)曾经报道的一个由BreachForums前管理员Koko创建的“新BreachForums”,DarkForums在Telegram频道表示,这个BreachForums克隆站也不是正规站点,Koko是个智障骗子,以过往成就为幌子行骗。他不仅诈骗了克隆论坛所有者SEPTEMBER,更在其自家论坛实施诈骗,如今更冒用SEPTEMBER等名义兜售论坛基础设施行骗。多名社区成员反映购买其论坛时遭遇欺诈,所以请务必警惕并远离这类无赖之徒。
某Telegram频道揭露的DarkForums管理员身份未得到权威证实 近期,有国内公众号号称某Telegram频道揭露了DarkForums管理员(Lucifer、Knox)的真实身份。根据号称”开盒“信息,此人为印度人,真实姓名为”Hritik Kumbhar“,来自印度奥里萨邦(Bhubaneswar, Odisha, India),系NIST大学计算机科学学士,现为初创公司InnovexPlus创始人,具备Linux、Python、网络安全等技术背景。
泄露内容极为详尽,包括”Hritik Kumbhar“的家庭住址(Bolangir, Odisha 767001)、手机号码(+916370174459)、常用设备(三星Z Fold6/7、尼康D7200相机)、学校(NIST University)、Linkedin个人页面(https://in.linkedin.com/in/hritik-kumbhar-980174354)、多个邮箱(如[email protected]、[email protected])及移动网络IP地址(136.233.58.227)等。
据“暗网下/AWX”综合各个权威网络安全威胁情报分析专家对DarkForums的分析,尚未证实”Hritik Kumbhar“是DarkForums管理员Knox,有待进一步的消息。
DarkForums后续如何发展,FBI会不会对其采取执法行动,“暗网下/AWX”将持续关注。
随着FBI的公告宣布查封BreachForums域名,“暗网下/AWX”报道称BreachForums时代已经终结,然而FBI又被打脸,臭名昭著的暗网数据泄露论坛BreachForums再次出现,与前几个版本类似,在明网与暗网均可访问,由老版本BreachForums论坛管理员“koko”启动,且冒天下之大不韪使用泰国、赞比亚等国家警方的邮箱发送欢迎邮件。
长期以来,BreachForums一直是数据泄露、黑客工具和非法交易的中心,在一系列国际联合执法部门的打击中,陆续由多个版本出现,被打击后又消亡,并在今年上半年彻底被摧毁。然而,仅仅几个月后,它又重新启动,既说明了此类论坛的受欢迎程度高,也表明了网络犯罪论坛的顽强生命力。
新版本BreachForums论坛是由老版本BreachForums论坛版主“koko”创建的,他在一篇置顶帖中声称,他在2023至2024年期间担任BreachForums版主,经过团队慎重商议,决定让BreachForums重启。目前核心功能已通过最近的备份完全恢复。用户可以再次浏览专门讨论被盗凭证、勒索软件讨论和零日漏洞的版块。“Koko”强调,新版本BreachForums论坛“比以往任何时候都更加强大”,并增强了匿名功能以逃避检测。
新版本BreachForums并没有直接延续旧的版本 “koko”称,对暗网社区而言,过去一年充满挑战,但他们已重整旗鼓,准备重建家园!然而,新版本BreachForums并非旧版本的延续,而又是全新的开始,但界面继承了老版本的界面,且“koko”表示核心功能已从备份中恢复,团队正在从头开始重建托管服务,以解决前期存在的网站漏洞。
“我们从错误中吸取了教训,”Koko写道,并承诺改进加密和多重签名钱包,以防止未来发生盗窃。
新版本BreachForums使用了新的暗网V3域名:
http://ujdswnhjybusy2i4vcsfpkezrtg27glkxu3t5b4ttszhxyqaz3gpkbyd[.]onion
除了可以通过暗网浏览,新版本BreachForums也支持在一个新的明网域名访问,这旨在吸引更广泛的受众,包括那些不太懂技术、不愿使用Tor网络的网络犯罪分子。
新版本BreachForums论坛提供了几项重要更新:
备份与功能:已完成所有核心功能的完整备份,确保系统运行顺畅无碍。未来用户将获得无缝体验。 托管系统:托管系统正在从零重建。旧系统曾多次遭各类机构入侵,且无人知晓有多少代理曾访问数据库。为保障安全可靠性,将采用全新更安全的系统。 用户名安全:强烈建议勿使用旧用户名。此举将危及您的操作安全。请创建全新身份以保障安全。 等级恢复:凡在BF历代版本(BFv1、BFv2、BFv3…)中拥有等级的用户,将予以恢复。请联系@koko提交恢复申请。 尽管“koko”持乐观态度,但他也表示,许多人目前仍对论坛部门运营人员表示怀疑。许多论坛老手怀疑新版本BreachForums可能是执法部门故意设置控的蜜罐。一位匿名发帖者评论道:“这太干净、太快了”,他担心美国联邦调查局或特勤局等机构可能会监视活动以建立案件。
网络安全专家敦促任何访问该网站的人都要谨慎。“ BreachForums一直是一把双刃剑,它既能为研究人员提供宝贵的情报,又能吸引真正的威胁。”一家领先安全公司的威胁分析师John Doe说道。
明网域名可能使用加密货币注册 新版本BreachForums的明网域名是breached[.]sh,.sh域名是圣赫勒拿岛(Saint Helena)、亚森欣和特里斯坦-达库尼亚群岛的的国家代码顶级域名(ccTLD),该域名注册商为“NICENIC INTERNATIONAL GROUP CO., LIMITED”。NiceNIC是一家总部位于香港的网络服务公司,以其品牌NiceNIC.NET运营,是ICANN认证的域名注册商。
根据whois信息,breached[.]sh域名注册于2025年10月15日,使用了ddos-guard.net的解析服务,应是为了保证网站的安全性。域名使用了whois保护,因此无法查询域名注册时填写的注册者与管理员信息。
虽然Recorded Future等网络安全公司已发出警告,指出当局更容易通过IP日志和托管服务提供商追踪明网域名。
不过由于NiceNIC是一家拥抱加密的公司,该服务商支持多种加密货币支付,包括比特币(Bitcoin), 泰达币(Tether USDT),以太坊(ETH), 莱特币(LTC),门罗币(XMR)。因此,新版本BreachForums明网域名breached[.]sh背后真实的注册者信息估计非常难以追踪。
新版本BreachForums论坛通过使用泰国、赞比亚等多国警方的被盗邮箱传播 据多家威胁情报机构表示,新版本论坛涉嫌滥用泰国警方官方邮箱域名(police.go.th)、赞比亚警察局官方邮箱域名(zambiapolice.org.zm)开展宣传推广活动。而发送邮件的警方邮箱大多都是在各种数据泄露事件中的泄露的。
新版本论坛的管理员似乎正利用被盗的执法机构邮箱账户,绕过垃圾邮件过滤器和安全检查,使宣传信息显得更具合法性,也体现其自身的权威性,从而增强目标推广对象的信任感,使新版本BreachForums论坛呈现真实可信的表象。
新版本BreachForums论坛已经在打包出售 新版本BreachForums论坛创始人“koko”发布置顶帖子公告,称其正在寻找新的所有者,出售新版本BreachForums论坛,他们将向其转让所有权,整体售价仅为5000美元。
购买成功的新所有者将获得:
基础设施的完整访问权限(6台服务器) 域名 CDN DDOS防护 代理服务器 被扣押的旧数据库(30万+用户) 托管交易数据库(含32,000余笔托管交易) “koko”在帖子中提供了用于交易谈判的加密即时聊天工具Session的联系码,并要求新所有者须具备管理该职位及全套基础设施的能力,且要延续BreachForums现有运营理念。
根据美国司法部的消息,运营全球最大暗网网络犯罪和黑客论坛之一BreachForums的一名纽约男子被联邦上诉法院撤销了原判的17天监禁,现被重新改判为三年监禁。
康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick),在BreachForums上的网名为pompompurin,22岁,是臭名昭著的暗网数据交易论坛BreachForums的创始人和管理员,BreachForums被认为是最大的英语网络犯罪交易市场,该论坛允许犯罪分子在该暗网网站上买卖被盗的登录凭证、数据库、网络访问权限、恶意软件和其他非法物品。
2023年7月,菲茨帕特里克承认了多项罪名,包括密谋贩卖被盗数据和持有儿童性虐待(CSAM)材料。尽管罪行严重,但他最初仅被判处17天监禁(他已经服刑),以及20年的监外执行。由于他年轻且患有自闭症,因此量刑较轻。
然而,检察官立即提起上诉,并于2025年1月,美国上诉法院推翻了原判。法院指出菲茨帕特里克“缺乏悔意”,并且他使用VPN访问在线聊天室违反了保释规定。
BreachForums的创立与pompompurin的被捕 2022年3月,执法部门关闭了一个名为“RaidForums”的暗网数据交易网站后,菲茨帕特里克创办了BreachForums,立即填补了RaidForums消失后留下的空白。他的网站会员数量迅速增长,在不到一年的时间内积累了超过33万名会员,存储了超过140亿条被盗记录,其中包括社保号码和银行账户信息等敏感的各国公民个人数据。
官员指出,这些数据库“属于各种各样的美国和外国公司、组织、关键基础设施和政府机构”,其中包括AT&T、T-Mobile、ADT、EPA、InfraGuard、Beeline、宏碁、Activision和WhatsApp等公司,以及最近的TikTok 、OpenAI和特朗普酒店等数百家公司。
根据美国司法部的新闻稿,在调查的关键环节,卧底的联邦调查局特工于2022年7月潜入该网站,购买了1500万美国人的记录,最终经过侦察,使得菲茨帕特里克于2023年3月在其父母位于纽约州皮克斯基尔的家中被捕,并在接受联邦调查局的采访时承认自己是“pompompurin”——BreachForums的主要管理员。被捕后不久,联邦调查局查封了BreachForums,并下线了该网站(自菲茨帕特里克被捕以来,执法部门一直试图将BreachForums从暗网里彻底清除,但每次摧毁后都会有新版本卷土重来)。
法庭文件显示,菲茨帕特里克个人从BreachForums获利约69.8万美元。该平台还成为黑客买卖被盗数据的中心,菲茨帕特里克本人也经常充当中间人。
菲茨帕特里克去年承认了一系列指控,包括持有儿童色情制品和合谋贩卖被盗个人身份信息。尽管检察官要求判处菲茨帕特里克15年以上的监禁,但法官认为,菲茨帕特里克的年龄和自闭症谱系障碍诊断使他在狱中容易遭受暴力。
2024年1月,菲茨帕特里克被判处17天监禁和20年监督释放。根据该判决,他被监禁在家中并接受GPS监控两年,获释后第一年禁止访问互联网,并被要求在其设备上安装监控软件,同时还被要求接受心理健康治疗。
这一判决备受争议,美国弗吉尼亚州东区检察官埃里克·西伯特表示,这些犯罪行为造成的损害难以衡量,儿童虐待材料对人类的影响更是无法计算。
除了监禁之外,菲茨帕特里克还必须交出100多个域名、十几台电子设备以及他通过非法活动赚取的所有加密货币。此案是美国司法部全国性“儿童安全计划”的一部分,该计划于2006年5月启动,旨在打击儿童性剥削和性虐待。
检察官提起上诉,上诉法院合议庭法官撤销之前判决 法庭记录显示,此次轻判考虑了菲茨帕特里克的减刑情节,包括他患有自闭症以及他年幼。量刑备忘录指出,即使在法律程序进行期间,菲茨帕特里克仍违反法院规定,使用VPN通过Discord访问在线聊天室。在这些情况下,他质疑自己认罪的合法性,对未对指控提出抗辩表示遗憾,并发表声明,将向外国利益集团出售敏感数据的行为轻描淡写。
鉴于菲茨帕特里克承认的罪名,以及他在审判前多次违反法院的释放条件,访问互联网并通过Discord聊天室聊天,检察官对释放菲茨帕特里克的决定感到愤怒,称该判刑“实质上不合理”,并迅速作出反应,提起上诉。
今年1月,美国第四巡回上诉法院由三名法官组成的合议庭撤销了地方法院一项备受争议的判决,认为判决不足,并将案件发回重审。美国上诉法院法官保罗·V·尼迈耶撰写了撤销原判的意见书,称菲茨帕特里克的行为表明他“缺乏悔意”,并指出地方法院“从未提及其罪行的严重性,也未解释其判决如何符合法律要求”。
尼迈耶在1月份提交的意见中表示,法庭未能承认菲茨帕特里克罪行的严重性,而菲茨帕特里克对此表示认罪。“在该网站长达一年的运营期间,菲茨帕特里克充当中间人,协助非法信息的买卖,赚取了698,714美元,并给许多受害者造成了金钱和声誉损失。”此外,菲茨帕特里克收集的儿童性虐待材料还涵盖“至少600张图片”,当局发现他之前“观看过描绘青春期前儿童从事性行为的视频”。
检察官建议判处15年刑期,律师寻求降低刑期 在最近的法庭文件中,检察官认为菲茨帕特里克的罪行太严重,却几乎不需要服刑——建议判处15年有期徒刑。 检察官表示:“被告策划并实施了大规模网络犯罪,其范围之广、程度之深、行为之肆无忌惮,足以判处其相当长的监禁时间。”
美国弗吉尼亚州东区检察官埃里克·西伯特(Erik S. Siebert)表示:“康纳·菲茨帕特里克个人通过出售大量被盗信息获利,这些信息包括从私人个人信息到商业数据。”西伯特说道,“这些罪行范围如此广泛,造成的损失难以量化,他收集的儿童性虐待材料所造成的人员伤亡更是无法估量。我们不会允许罪犯躲藏在互联网最黑暗的角落,并将运用一切法律手段将他们绳之以法,”
司法部表示,BreachForums为获取数百万美国公民的敏感个人信息提供了便利,而菲茨帕特里克参与了多起网络犯罪案件,涉及窃取联邦调查局以及华盛顿特区医疗保健市场的信息。 该平台参与了针对华盛顿特区健康保险市场的网络攻击,导致联邦立法者、工作人员和数千名城市居民的敏感信息泄露。
而被告菲茨帕特里克对其罪行几乎没有表现出悔意:他违反了审前释放的条件;破坏了合作协议;并且否认对其儿童色情罪行负有责任。在致法院的信函和第一次宣判中,被告虽然承认了自己的罪行,但随后却将自己的罪行归咎于周围的人。
据检察官称,菲茨帕特里克是一位热情的领导者,他召集黑客加入其暗网论坛,并利用其管理员的角色获利——经常充当网络犯罪分子之间的中间人。
他们补充说,菲茨帕特里克的自闭症谱系障碍诊断结果为“轻度”,并且没有证据表明他“无法适应监狱环境”。他们引用了一位执业心理学家的评估,称菲茨帕特里克“因自闭症谱系障碍而导致的损伤程度较低”。医生指出,菲茨帕特里克“在没有任何残疾的情况下顺利完成了学业,并在没有住宿的情况下就读了一段时间的社区大学”。
菲茨帕特里克的律师提交了其父母和医生的来信,称自20个月前首次被判刑以来,他一直完全遵守法庭规定。自那以后,他一直被限制在家中,没有使用过任何电子设备。 他们还表示,鉴于他曾两次试图自杀,监禁“不符合社会利益”,而且会使他处于危险之中。
菲茨帕特里克被重新判处3年监禁 本周二,康纳·菲茨帕特里克被重新判处三年有期徒刑。此外,作为重新判刑的一部分,菲茨帕特里克必须额外支付1,016,786.51美元的赔偿金。
美国司法部发布的消息称, “作为最初认罪协议的一部分,菲茨帕特里克同意交出100多个域名和十几台电子设备”,并向其中一名受害者、医疗保健提供商Nonstop Health赔偿70万美元,向每位受影响的受害者赔偿3000美元。判决文件称,菲茨帕特里克需要受到严厉的判决,“以震慑未来网络犯罪生态系统的领导者”。
美国司法部宣布重新判刑时,美国检察官埃里克·西伯特表示,菲茨帕特里克“通过出售大量被盗信息从个人隐私到商业数据等各种信息中获利”。 他说:“这些犯罪行为范围如此广泛,造成的损失难以量化,他收集的儿童性虐待材料所造成的人员伤亡更是无法估量。我们不会允许罪犯躲藏在互联网最黑暗的角落,并将使用一切法律手段将他们绳之以法。”
检察官写道:“被告的行为——即他多年来使用并随后管理在线网络犯罪论坛、他试图逃避执法侦查、他在审前违反规定且未能明确表明对他的罪行负责——凸显了对被告进行长期监督释放的必要性,以确保被告受到适当的监控并能够获得康复服务。”
代理助理检察长马修·加莱奥蒂(Matthew Galeotti)对菲茨帕特里克的重新判刑表示赞赏,他在一份声明中写道,在执法行动摧毁了BreachForums的前身RaidForums之后,菲茨帕特里克有意领导了BreachForums的创建。
FBI助理局长布雷特·莱瑟曼表示:“FBI正在不懈努力地摧毁BreachForums等犯罪市场,我们正在追捕运营这些平台的所有参与者。”
7月底,根据“暗网下/AWX”的报道,在法国警方和欧洲刑警组织的协调下,臭名昭著的俄语暗网论坛XSS[.]is的明网域名被摧毁,其中一名管理员“Toha”被捕,当局指控Toha通过勒索软件获利超过700万欧元,并协助进行恶意软件、被盗数据和非法访问的交易。然而,警方对XSS的打击并未让地下网络犯罪销声匿迹。
近日,暗网威胁情报研究团队KELA发布研究报告称,尽管XSS在暗网上仍然在线,但关于其控制者身份的困惑加剧了人们的怀疑,怀疑它可能是执法部门的蜜罐。这种日益增长的不信任感促使许多网络犯罪分子与XSS保持距离,导致大规模网络犯罪分子迁移到名为DamageLib的新平台。
XSS论坛管理员“Toha”被逮捕 2025年7月22日,乌克兰当局在欧洲刑警组织的支持下,逮捕了一名38岁的男子,他涉嫌担任大型俄语网络犯罪论坛XSS[.]is的管理员。此次逮捕是在法国当局、欧洲刑警组织和乌克兰执法部门领导的多年调查之后进行的。XSS论坛自2013年以来一直活跃,前身为DaMaGeLaB,长期以来一直是被盗数据、恶意软件和勒索软件工具交易的中心,拥有近5万名注册用户。该论坛拥有一套信誉系统来促进安全交易,并严格禁止攻击独联体国家。
被捕的XSS管理员是“Toha”,他自2005年以来一直是网络犯罪界的核心人物,在多个大型俄语论坛的发展中发挥了关键作用。“Toha”是Hack-All的创始成员之一,该组织后来更名为Exploit[.]in。2017年,在DaMaGeLaB的管理员“Ar3s”被捕后,他们接管了DaMaGeLaB,继续主导地下网络犯罪活动。2018年,Toha将DaMaGeLaB更名为XSS[.]is,进一步巩固了其在网络犯罪领域的领先地位。
自Toha被捕以来,关于其身份以及XSS论坛未来走向的谣言和猜测愈演愈烈。研究人员认为该威胁行为者与别名“Anton Avdeev”有关。然而,执法部门迄今为止尚未发表任何声明,这可能是由于仍在进行调查并试图识别参与该论坛活动的其他人员。
XSS论坛新管理者的管理操作引发恐慌 研究称,尽管在暗网中,洋葱版本的XSS论坛仍然在线,但人们越来越多地猜测它已经成为执法蜜罐,而新的、声誉较低的版主的任命加剧了这种担忧。
在XSS论坛的明网域名被查封并关闭期间,该论坛的暗网域名仍然可以访问。但是大抓捕已经形成了较大威胁,XSS论坛成员开始恐慌地清理他们的帖子和消息,2025年8月3日,XSS论坛的新管理员宣布他们已成功将所有基础设施迁移到新服务器,并推出了新的明网域名(XSS[.]pro)和暗网网站,因为他们担心洋葱网站也已被查封。他们还表示,论坛的后端和Jabber服务器尚未被查封。
继发表声明后,新管理员封禁了之前的版主,并任命了新版主“Flame”(注册于2020年,只发了53条帖子)、“W3W”(注册于2025年8月4日)和“locative”(注册于2022年,是现任版主团队中声誉最高的),负责管理讨论帖和组织事务,同时继续维护论坛基础设施。这一举动立即在该论坛近5.1万名会员中引发了广泛的不信任,论坛成员纷纷对此表示强烈担忧和愤慨,主要是因为新版主无论是在论坛内外都缺乏声誉或知名度。另外,新版主们开始封禁长期用户,原因是他们发布了令人担忧的帖子和负面评论,这进一步引发了论坛成员的新一轮猜测和讨论。
成员们开始担心老用户或信誉良好的用户缺乏活跃度,并提到只有少数几个用户活跃,分别是“c0d3x”、“lisa99”、“stepany4”和“proexp”。KELA可以确认,参与讨论的老用户名单比较少,除了上述名称外,还有“waahoo”、“antikrya”和“p1r0man”。
另外,XSS论坛的新管理员将社区的知名成员“Stallman”添加到版主列表中,此举也引起了论坛用户的担忧。Stallman活跃于各种现有和之前已停用的知名论坛,包括Exploit、XSS、RAMP(Stallman也是RAMP的管理员)、Rutor和Runion,主要专注于漏洞和勒索软件,也就是Stallman在事实上领导勒索软件社区,这一发展引发了人们对新的XSS管理及其潜在动机的新疑问。此外,Stallman上任后,有传言称新的XSS管理员将允许在XSS上发布勒索软件并进行讨论,而这些此前是被禁止的。
XSS论坛的市场版块在整个月内保持活跃,不断推出新的产品和服务。然而,正如论坛中其他论坛成员在有管理员的讨论区中提到的那样,这些新产品和新服务来自新注册且未经验证的成员。此外,针对独联体国家/地区的服务开始变得更加频繁,而且没有受到监管,这也引起了用户的不满,因为XSS一直以严格禁止针对独联体国家的服务而闻名。
XSS论坛的新管理者对存款的处置引发争议 另一个引起XSS论坛社区关注的热门话题是存款(网络犯罪分子为了提高声誉而自愿存入账户的金额)及其支付情况。在专门为此问题创建的讨论帖中,新任管理员表示他们没有足够的资金来偿还所有存款,目前提现请求总额为7.015942 BTC(788,254美元)和480.527 LTC(54,673美元),这些金额将分配给那些要求返还押金的用户。此外,成员们开始讨论,押金债务总额估计约为50-55 BTC(6,170,873美元),他们认为这可以算作整个论坛的成本。值得注意的是,Stallman公开反对这一想法,坚持认为应该先提取版主的押金,然后再支付剩余金额。
2025年8月28日,论坛管理员声称已将部分存款金额转给了要求提现的用户。名单上的一些威胁行为者也在同一帖子中确认资金已转入他们的钱包。
新的XSS论坛管理者对近600万美元有争议的用户存款的处理进一步削弱了信任,也进一步促使前XSS版主推出一个新的竞争平台。
XSS论坛的访问量急速下滑 困惑和恐惧促使相当一部分用户急于寻求替代方案,在XSS出现动荡期间,由于参与者寻求替代方案,Exploit论坛流量激增近24%,而XSS论坛访问量则大幅下降。
XSS论坛上的网络犯罪分子正在讨论如果确定XSS已经被攻破,他们可能会转向何处,其中主要提到了Exploit(但一些论坛成员猜测Exploit也可能是一个蜜罐)、RAMP和Verified论坛。
根据SimilarWeb的统计数据,Exploit论坛在XSS被查封后流量激增,本月总访问量增长了23.99%。然而,在7月24日达到峰值之后,Exploit的流量开始恢复正常水平,而XSS论坛的访问量则急剧下降。值得注意的是,用户也避免访问明网域名XSS[.]pro。
DamageLib的出现与崛起 XSS论坛的一些前版主推出了他们自己的基于洋葱的论坛DamageLib,并向XSS论坛成员发送私信,邀请他们加入新论坛,并声称XSS已被完全控制。DamageLib目前仅存在于暗网版本中;包括“cryptocat”、“fenix”、“sizeof”、“zen”、“stringray”、“rehub”等在内的版主声称,他们不打算支持明网版本的论坛。
KELA的研究显示,DamageLib在成立的第一个月内发展迅猛,截至2025年8月27日,DamageLib拥有33487名用户(占XSS全部50853名注册用户列表的近66%)。然而,目前的统计数据表明,新创建的DamageLib论坛的用户在整个月内仅发布了248个主题和3107条公开消息。根据KELA的内部统计数据,在XSS论坛被查封前的一个月(2025年6月23日至2025年7月23日),威胁行为者共发布了超过14400条公开消息。研究人员表示,这表明,虽然用户在新平台上注册,但整个地下社区仍然保持着谨慎的态度。
最初,注册完全匿名,版主和管理员直接要求新成员避免使用XSS相关的信息,以防止可能的追踪。然而,在最近的帖子中,他们表示能够恢复用户数据,并创建了所谓的“幽灵账户”,首先是为了防止已知用户的冒充,其次,允许那些想要恢复声誉的用户通过验证流程并重新获得昵称的访问权限。不出所料,这一流程引发了担忧。不过,据KELA观察,一些成员,例如“Spy”和“paranoid,已经恢复了他们的昵称。
版主的合法性及其动机令新注册会员感到担忧。在一个专门讨论论坛新闻的帖子中,一位用户请求版主从其Exploit账户发送消息,以确认其身份和所作的声明。2025年8月2日,昵称“Fax”的用户表示,Exploit论坛版主“Quake3”向其发送消息,确认DamageLib版主之一“Rehub”已确认XSS版主团队确实是DamageLib论坛的幕后推手。
此外,KELA观察到一些著名的XSS成员使用他们原来的昵称活跃在当前的XSS和DamageLib论坛上,包括“antikrya”和“Ar3s”(由于缺乏对DamFageLib的验证,KELA无法确认他们是否为同一威胁行为者)。后者证实该论坛是由前XSS版主团队创建的,而“antikrya”主要表达了隐藏昵称毫无意义的观点。
DamageLib的版主和管理员在其他帖子中表示,他们正在考虑屏蔽论坛的商业版块,因为“Toha”在被捕前不久就曾考虑过这个方向。此外,关于允许勒索软件相关讨论和报价的讨论也在DamageLib上进行,并获得了社区的积极反馈。
根据KELA的报道以及“暗网下/AWX”的实际访问探查,目前,这两个暗网论坛的用户群高度重叠,地下犯罪社区更关注论坛平台本身的发展现状、是否正在被警方调查、各自管理者的身份和合法性,以及用户存款的去向,这些方面也是网络犯罪分子决定去留的关键。
2025年,中文暗网出现了一些新的变化,大家熟知的暗网导航“onion666”销声匿迹已久,暗网市场“自由城”在持续更新收割,而一个暂新的繁体中文暗网论坛“串子会”突然出现,正在积攒人气。”串子会“自称是一个面向中文使用者的隐蔽论坛,专注于提供自由、开放的交流平台,讨论各种主题,包括科技、社会、文化等。
与BreachForums论坛类似,暗网论坛“串子会”也是使用phpBB搭建,不同的是“串子会”使用的是phpBB的默认皮肤主题prosilver,界面整体呈现蓝色系而非其他暗网论坛常见的暗色系。
暗网论坛“串子会”的暗网V3域名是:http://46opsroctqizqf7glw3a3htcmef6mfeaxe5qdu2sk7khyl7mc3wrfeqd[.]onion
根据该暗网论坛管理员”串子會“的注册时间以及第一篇主题的发布时间判断,该暗网论坛大概的成立时间是2025年1月31日,管理员在论坛页面底部留下了匿名管理邮箱:[email protected]。分析论坛第一篇主题文章的内容,“暗网下/AWX”判断该暗网论坛管理员大概是一位身在台湾或国外仇视大陆的人士,或者是身在大陆却有异见的人士。从论坛的公告帖子以及版块规则帖子看,无法排除其在大陆境内的可能性,是否是警方的蜜罐也不得而知。
在该论坛页面顶部,使用中文繁体、英文、中文简体写着“串子会”的名称“串子會 – Unity League – 串子会”,然后是中文繁体的介绍:“「串子会」是一个面向中文使用者的隐蔽论坛,专注于提供自由、开放的交流平台,讨论各种主题,包括科技、社会、文化等。论坛秉承隐私至上的原则,致力于保护成员的匿名性,为用户创造一个安全、无拘无束的讨论空间。在这里,你可以自由地表达观点、交流经验,并且与来自不同背景的人进行思想碰撞。”,原文如下:
「串子會」是一個面向中文使用者的隱祕論壇,專注於提供自由、開放的交流平臺,討論各種主題,包括科技、社會、文化等。論壇秉承隱私至上的原則,致力於保護成員的匿名性,為用戶創造一個安全、無拘無束的討論空間。在這裡,你可以自由地表達觀點、交流經驗,並且與來自不同背景的人進行思想碰撞。
纵观该暗网论坛,设置了14个的子版块:“時局觀察 – 时局观察”、“團體招募 – 团体招募”、“自由市場 – 自由市场”、“財經專區 – 财经专区”、“科技天地 – 科技天地”、“文化交流 – 文化交流”、“思想論壇 – 思想论坛”、“宗教神學 – 宗教神学”、“陰謀論斷 – 阴谋论断”、“靈異怪談 – 灵异怪谈”、“遊戲攻略 – 游戏攻略”、“匿名吐槽 – 匿名吐槽”、“萬花筒區 – 万花筒区”、“站務反饋 – 站务反馈”,名称由中文繁体与简体组合书写。半年多时间,已经拥有注册账户1100多个,主题帖1000多篇,回复超过2500篇,就暗网中的中文论坛而言,成长还算迅速。最受关注以及活跃度最高的版块是”自由市场“,已经拥有300多篇主题,意味着暗网用户多数是为了交易而来。
在暗网论坛“串子会”的页面底部,其管理员还公布了一个用于接受捐赠的比特币地址:bc1qlnynya7chcpeypmjxmhfmgw0g2vdq2e2eznma9,“暗网下/AWX”在链上进行了查看,该地址收到了0.00344753 BTC的捐赠,价值近400美元,疑似向其捐赠的比特币地址:bc1qprdf80adfz7aekh5nejjfrp3jksc8r929svpxk(Robinhood交易所的热钱包)、bc1qwg0pm9pee952ppv0qkc6ts4gemms7a67r6z7qa(疑似一个中转钱包)、13NgT8zz5TxHZhwJNXTkgdrn21uMaYwz2x,转出的比特币钱包:3A8t3nQWPHF1wVhz8cXtaisZmxNswLvvEt,接受了0.00586682 BTC,价值近700美元。
2025年5月5日,名称为”串子會“的管理员使用繁体中文、简体中文、英文发布了该暗网论坛的论坛规则:”關於維護論壇秩序與貼文管理規範“,内容如下:
各位親愛的論壇使用者,您好:
感謝各位長久以來對於本論壇的支持與愛護。
首先,本論壇在此申明,我們尊重每一位使用者的言論自由,絕不因為貼文的內容本身而刪除任何主題或回復。我們鼓勵多元的討論與交流。
然而,為確保社群環境的良好秩序,並避免論壇遭受惡意灌水行為(Spam/Flooding)的騷擾,影響其他使用者的正常瀏覽與討論,我們特此制定以下貼文管理規範,以維護論壇的正常運作:
一、 刪帖規則(以下為兩個絕對禁止的行為):
重複或近似內容灌水: 多次重複發佈大量(超過一篇即為「大量」)內容相同或極度相近的貼文、回復或短消息,意圖洗版或癱瘓版面。短時間高頻率發文: 在短時間內使用相同帳號或關聯帳號高頻率地發佈大量無意義、高度重複或內容空洞的貼文。
違犯上述任一行為者,管理團隊將會直接刪除其相關貼文。 情節嚴重或屢次違反(超過一次即為「屢次」)者,可能會視情況採取警告、暫時禁言或永久封禁等更嚴厲的管理措施。
二、 版面主題匹配原則:
請各位使用者發佈貼文時,務必注意貼文的主題內容需要與您選擇發佈的版面標題相匹配。這有助於使用者更有效地瀏覽資訊及參與討論。
對於主題與所在版面標題不符的貼文,管理團隊將會把其移動至正確的對應版面,而不會直接刪除。
請各位使用者配合,儘量在正確的版面發佈主題,避免因主題不符而被移動。
維護一個良好、有序的交流環境需要所有使用者的共同努力。感謝大家的理解與配合。
此致
串子會 敬上
────────────────────
各位亲爱的论坛使用者,您好:
感谢各位长久以来对于本论坛的支持与爱护。
首先,本论坛在此申明,我们尊重每一位使用者的言论自由,绝不因为贴文的内容本身而删除任何主题或回复。我们鼓励多元的讨论与交流。