暗网论坛XSS被查封导致网络犯罪分子转向新建立的暗网论坛DamageLib
7月底,根据“暗网下/AWX”的报道,在法国警方和欧洲刑警组织的协调下,臭名昭著的俄语暗网论坛XSS[.]is的明网域名被摧毁,其中一名管理员“Toha”被捕,当局指控Toha通过勒索软件获利超过700万欧元,并协助进行恶意软件、被盗数据和非法访问的交易。然而,警方对XSS的打击并未让地下网络犯罪销声匿迹。
近日,暗网威胁情报研究团队KELA发布研究报告称,尽管XSS在暗网上仍然在线,但关于其控制者身份的困惑加剧了人们的怀疑,怀疑它可能是执法部门的蜜罐。这种日益增长的不信任感促使许多网络犯罪分子与XSS保持距离,导致大规模网络犯罪分子迁移到名为DamageLib的新平台。
XSS论坛管理员“Toha”被逮捕 2025年7月22日,乌克兰当局在欧洲刑警组织的支持下,逮捕了一名38岁的男子,他涉嫌担任大型俄语网络犯罪论坛XSS[.]is的管理员。此次逮捕是在法国当局、欧洲刑警组织和乌克兰执法部门领导的多年调查之后进行的。XSS论坛自2013年以来一直活跃,前身为DaMaGeLaB,长期以来一直是被盗数据、恶意软件和勒索软件工具交易的中心,拥有近5万名注册用户。该论坛拥有一套信誉系统来促进安全交易,并严格禁止攻击独联体国家。
被捕的XSS管理员是“Toha”,他自2005年以来一直是网络犯罪界的核心人物,在多个大型俄语论坛的发展中发挥了关键作用。“Toha”是Hack-All的创始成员之一,该组织后来更名为Exploit[.]in。2017年,在DaMaGeLaB的管理员“Ar3s”被捕后,他们接管了DaMaGeLaB,继续主导地下网络犯罪活动。2018年,Toha将DaMaGeLaB更名为XSS[.]is,进一步巩固了其在网络犯罪领域的领先地位。
自Toha被捕以来,关于其身份以及XSS论坛未来走向的谣言和猜测愈演愈烈。研究人员认为该威胁行为者与别名“Anton Avdeev”有关。然而,执法部门迄今为止尚未发表任何声明,这可能是由于仍在进行调查并试图识别参与该论坛活动的其他人员。
XSS论坛新管理者的管理操作引发恐慌 研究称,尽管在暗网中,洋葱版本的XSS论坛仍然在线,但人们越来越多地猜测它已经成为执法蜜罐,而新的、声誉较低的版主的任命加剧了这种担忧。
在XSS论坛的明网域名被查封并关闭期间,该论坛的暗网域名仍然可以访问。但是大抓捕已经形成了较大威胁,XSS论坛成员开始恐慌地清理他们的帖子和消息,2025年8月3日,XSS论坛的新管理员宣布他们已成功将所有基础设施迁移到新服务器,并推出了新的明网域名(XSS[.]pro)和暗网网站,因为他们担心洋葱网站也已被查封。他们还表示,论坛的后端和Jabber服务器尚未被查封。
继发表声明后,新管理员封禁了之前的版主,并任命了新版主“Flame”(注册于2020年,只发了53条帖子)、“W3W”(注册于2025年8月4日)和“locative”(注册于2022年,是现任版主团队中声誉最高的),负责管理讨论帖和组织事务,同时继续维护论坛基础设施。这一举动立即在该论坛近5.1万名会员中引发了广泛的不信任,论坛成员纷纷对此表示强烈担忧和愤慨,主要是因为新版主无论是在论坛内外都缺乏声誉或知名度。另外,新版主们开始封禁长期用户,原因是他们发布了令人担忧的帖子和负面评论,这进一步引发了论坛成员的新一轮猜测和讨论。
成员们开始担心老用户或信誉良好的用户缺乏活跃度,并提到只有少数几个用户活跃,分别是“c0d3x”、“lisa99”、“stepany4”和“proexp”。KELA可以确认,参与讨论的老用户名单比较少,除了上述名称外,还有“waahoo”、“antikrya”和“p1r0man”。
另外,XSS论坛的新管理员将社区的知名成员“Stallman”添加到版主列表中,此举也引起了论坛用户的担忧。Stallman活跃于各种现有和之前已停用的知名论坛,包括Exploit、XSS、RAMP(Stallman也是RAMP的管理员)、Rutor和Runion,主要专注于漏洞和勒索软件,也就是Stallman在事实上领导勒索软件社区,这一发展引发了人们对新的XSS管理及其潜在动机的新疑问。此外,Stallman上任后,有传言称新的XSS管理员将允许在XSS上发布勒索软件并进行讨论,而这些此前是被禁止的。
XSS论坛的市场版块在整个月内保持活跃,不断推出新的产品和服务。然而,正如论坛中其他论坛成员在有管理员的讨论区中提到的那样,这些新产品和新服务来自新注册且未经验证的成员。此外,针对独联体国家/地区的服务开始变得更加频繁,而且没有受到监管,这也引起了用户的不满,因为XSS一直以严格禁止针对独联体国家的服务而闻名。
XSS论坛的新管理者对存款的处置引发争议 另一个引起XSS论坛社区关注的热门话题是存款(网络犯罪分子为了提高声誉而自愿存入账户的金额)及其支付情况。在专门为此问题创建的讨论帖中,新任管理员表示他们没有足够的资金来偿还所有存款,目前提现请求总额为7.015942 BTC(788,254美元)和480.527 LTC(54,673美元),这些金额将分配给那些要求返还押金的用户。此外,成员们开始讨论,押金债务总额估计约为50-55 BTC(6,170,873美元),他们认为这可以算作整个论坛的成本。值得注意的是,Stallman公开反对这一想法,坚持认为应该先提取版主的押金,然后再支付剩余金额。
2025年8月28日,论坛管理员声称已将部分存款金额转给了要求提现的用户。名单上的一些威胁行为者也在同一帖子中确认资金已转入他们的钱包。
新的XSS论坛管理者对近600万美元有争议的用户存款的处理进一步削弱了信任,也进一步促使前XSS版主推出一个新的竞争平台。
XSS论坛的访问量急速下滑 困惑和恐惧促使相当一部分用户急于寻求替代方案,在XSS出现动荡期间,由于参与者寻求替代方案,Exploit论坛流量激增近24%,而XSS论坛访问量则大幅下降。
XSS论坛上的网络犯罪分子正在讨论如果确定XSS已经被攻破,他们可能会转向何处,其中主要提到了Exploit(但一些论坛成员猜测Exploit也可能是一个蜜罐)、RAMP和Verified论坛。
根据SimilarWeb的统计数据,Exploit论坛在XSS被查封后流量激增,本月总访问量增长了23.99%。然而,在7月24日达到峰值之后,Exploit的流量开始恢复正常水平,而XSS论坛的访问量则急剧下降。值得注意的是,用户也避免访问明网域名XSS[.]pro。
DamageLib的出现与崛起 XSS论坛的一些前版主推出了他们自己的基于洋葱的论坛DamageLib,并向XSS论坛成员发送私信,邀请他们加入新论坛,并声称XSS已被完全控制。DamageLib目前仅存在于暗网版本中;包括“cryptocat”、“fenix”、“sizeof”、“zen”、“stringray”、“rehub”等在内的版主声称,他们不打算支持明网版本的论坛。
KELA的研究显示,DamageLib在成立的第一个月内发展迅猛,截至2025年8月27日,DamageLib拥有33487名用户(占XSS全部50853名注册用户列表的近66%)。然而,目前的统计数据表明,新创建的DamageLib论坛的用户在整个月内仅发布了248个主题和3107条公开消息。根据KELA的内部统计数据,在XSS论坛被查封前的一个月(2025年6月23日至2025年7月23日),威胁行为者共发布了超过14400条公开消息。研究人员表示,这表明,虽然用户在新平台上注册,但整个地下社区仍然保持着谨慎的态度。
最初,注册完全匿名,版主和管理员直接要求新成员避免使用XSS相关的信息,以防止可能的追踪。然而,在最近的帖子中,他们表示能够恢复用户数据,并创建了所谓的“幽灵账户”,首先是为了防止已知用户的冒充,其次,允许那些想要恢复声誉的用户通过验证流程并重新获得昵称的访问权限。不出所料,这一流程引发了担忧。不过,据KELA观察,一些成员,例如“Spy”和“paranoid,已经恢复了他们的昵称。
版主的合法性及其动机令新注册会员感到担忧。在一个专门讨论论坛新闻的帖子中,一位用户请求版主从其Exploit账户发送消息,以确认其身份和所作的声明。2025年8月2日,昵称“Fax”的用户表示,Exploit论坛版主“Quake3”向其发送消息,确认DamageLib版主之一“Rehub”已确认XSS版主团队确实是DamageLib论坛的幕后推手。
此外,KELA观察到一些著名的XSS成员使用他们原来的昵称活跃在当前的XSS和DamageLib论坛上,包括“antikrya”和“Ar3s”(由于缺乏对DamFageLib的验证,KELA无法确认他们是否为同一威胁行为者)。后者证实该论坛是由前XSS版主团队创建的,而“antikrya”主要表达了隐藏昵称毫无意义的观点。
DamageLib的版主和管理员在其他帖子中表示,他们正在考虑屏蔽论坛的商业版块,因为“Toha”在被捕前不久就曾考虑过这个方向。此外,关于允许勒索软件相关讨论和报价的讨论也在DamageLib上进行,并获得了社区的积极反馈。
根据KELA的报道以及“暗网下/AWX”的实际访问探查,目前,这两个暗网论坛的用户群高度重叠,地下犯罪社区更关注论坛平台本身的发展现状、是否正在被警方调查、各自管理者的身份和合法性,以及用户存款的去向,这些方面也是网络犯罪分子决定去留的关键。