近期Indra的BreachForums出现了运营崩溃以及所谓的“退出骗局”后,一个名为PwnForums的新暗网论坛应运而生,该论坛一出生即王炸。前几天刚刚人肉了原BreachForums管理员“N/A”的真实身份,随后又发布了其主要竞争对手暗网论坛DarkForums的论坛数据库。可怜的DarkForums遭遇了严重的“背刺”——其大量用户的真实IP地址惨遭泄露,匿名神话再次破灭。
雨后春笋:新成立的暗网论坛PwnForums PwnForums被确认为一个新成立的独立论坛,据称由Indra版本的BreachForums的前版主和资深成员创建。虽然它声称与之前BreachForums的管理团队没有官方联系,但其领导层构成表明,无论在运营还是社区结构方面,都保持着一定的连续性。
该暗网论坛在功能和用户群方面定位为BreachForums的直接继承者,旨在恢复中断的活动,并为威胁行为者提供熟悉的环境。PwnForums声称拥有截至2026年3月28日原BreachForums更新的历史主题、帖子和用户数据库。
PwnForums的出现凸显了网络犯罪领域一个反复出现的模式:一个平台倒下后,另一个平台会迅速崛起取而代之。凭借继承的信任、现有的用户凭证以及声称拥有的历史数据访问权限,PwnForums 作为数据泄露和网络犯罪分子协作的重建中心,构成了重大风险。
PwnForums的明网域名:pwnforums.[]st
PwnForums的暗网域名:pwnfrm7rbf6kyerigxi677lcz5ifmoagdbqqknwdu2by27wfdst5qmqd[.]onion
内战升级:PwnForums大战DarkForums 4月15日,PwnForums的管理员john在其论坛发布主题:“DarkForums · 420k rows · Posts/Users/IPs”,帖子称“PwnForums社区的各位好,在整倒了N/A之后,我们想向大家介绍由一个名为“Knox”的Pajeet运营的DarkForums(顺便提一句,此人正在出售其用户数据) 我们利用了一个myBB漏洞,从而提取了用户数据。”具体用户数据如下(字段:用户名、IP、主机名、错误、帖子):
~ 427,000 条记录,涵盖帖子 ID 0 至 442,200,每条记录将帖子 ID 与用户名、IP 地址和主机名关联起来。 ~ 44,300 名唯一用户的 IP 地址被泄露。 ~ 78,000 个唯一 IP 地址。 ~ 19,300 次通过 Tor 节点建立的连接。 ~ 15,200 次通过 VPN/主机服务商建立的连接。 ~ 97,400 条包含住宅主机名的记录(真实的个人 ISP)。 ~ 168,400 条无主机名的记录(仅 IP 地址,无反向 DNS)。 ~ 122,700 条错误记录(67,000条已删除帖子,43,000次超时,7,500次访问被拒)。 john在帖子中说:“您愿意在一个已禁用洋葱服务的论坛上发帖吗?您愿意在一个已将大量 Tor IP 地址列入黑名单的论坛上发帖吗?您愿意在这样一个论坛发帖吗?该论坛不仅记录用户最近一次登录和注册时的IP地址,还记录他们曾在DarkForums发帖时使用的IP地址。”
在暗网的世界里,真实IP地址就是威胁行为者的命门。DarkForums此前一直标榜其平台的安全性和对用户隐私的极致保护,但此次泄露直接撕掉了这层伪装。根据泄露的数据样本显示,其中包含了大量与恶意软件分发、勒索软件协作相关的活跃账号信息。
从技术层面分析,这次泄露极有可能是因为DarkForums的服务器配置存在漏洞,或者由于myBB程序存在0day漏洞导致论坛权限被竞争对手渗透所致。但无论什么原因,当攻击者能够直接获取并公开用户的真实访问日志时,所谓的Tor匿名保护就彻底失效了。
“暗网下/AWX”认为,这不仅仅是一次简单的数据库失窃,更像是暗网论坛之间为了争夺“流量”与“权威”而进行的毁灭性打击。
渔翁得利:全球执法部门和安全研究机构大丰收 此次泄露的影响远超表面,由于许多攻击者在访问论坛时并未能完美地隐藏其真实出口,泄露的IP地址直接指向了他们所使用的VPS服务商、甚至是个人的家庭宽带出口。对于全球执法部门和安全研究机构来说,这无疑是一笔巨大的情报财富。通过对IP地址进行溯源,可以准确定位目标从而获取网络犯罪分子的真实身份。
这起事件再次提醒了那些游走在法律边缘的人:在技术对抗的最高维度,没有绝对的避风港。当暗网论坛开始通过曝光对方用户老底来进行“商业竞争”时,整个地下生态的信任基础正在加速瓦解。对于安全从业者而言,这一定是一个追踪高价值威胁组织(APT)或勒索软件团伙的关键突破口。
根据PwnForums论坛发布的耻辱墙公告以及X账号@IntCyberDigest的爆料,社交媒体和黑客社区的不同消息来源将保加利亚网络安全专家Angel Tsvetkov与BreachForums的管理员联系起来。BreachForums是买卖被盗数据的主要平台之一,当前主要有三个版本的BreachForums在运营,这里所指的BreachForums是Indra版本的BreachForums。
2026年3月15日,Indra的BreachForums暗网论坛突然无法访问,身份不明的管理员选择关闭了该网站,后来证实这是一起退出骗局。不过,当时网络反情报威胁调查联盟(CCITIC)声称对此事负责。
在Indra的BreachForums论坛关闭了十天后,论坛管理员之一“N/A”使用今年2月份的备份,通过新的域名BreachForums[.]sb重新启动该论坛,这次使用的管理员新化名是“Caine”。两天后,其他工作人员确认Caine就是之前卷款跑路的那个人,之后整个管理团队选择集体辞职。由于没有版主,“N/A”再次尝试出售该论坛的基础设施,此后大概是被DarkForums的Knox买走。
PwnForums称,这并非“N/A”首次犯案,在他担任管理员期间,“N/A”一直通过二级账户进行托管诈骗,兜售他并不拥有的数据库,收取款项却不交付任何产品。他还拖欠与他达成协议但从未履行义务的各方款项。
事件发展的时间线 2026年3月15日:BreachForums论坛无法访问,后经内部讨论,被描述为管理员主导的破坏活动。 2026年3月25日:据报道,BreachForums以“Caine”的化名重新启动,据称使用了之前的备份。 2026年3月27日:管理团队声称“Caine”和“N/A”是同一个人,整个管理团队集体辞职。 3月27日之后:据称管理员试图转移或出售论坛控制权。 被暗网论坛PwnForums钉上耻辱墙上的N/A究竟是谁 PwnForums已确认N/A为安吉尔·茨韦特科夫 (Angel Tsvetkov),他是一名保加利亚网络安全专家、渗透测试员和漏洞赏金研究员,拥有渗透测试和漏洞研究背景。他以其在识别和负责任地披露全球主要平台漏洞方面的工作而闻名。他在HackerOne和Intigriti等平台上享有盛誉,曾报告过影响大型企业的漏洞。他的工作主要集中在Web应用程序安全、漏洞发现和对抗性测试方面。
PwnForums称,Angel Tsvetkov是一位认证的道德黑客,HackerOne会员,曾因负责任的信息披露而获得哈佛大学、福特汽车公司、博世、BBC和OLX等多家企业机构的致谢,并曾荣获新闻媒体BBC和安全公司ESET的多项嘉奖。
然而,他表面上是一名白帽黑客,实际上却运营着最大的数据交易论坛,他同时是暗网论坛BreachForums的管理者,对论坛用户进行托管诈骗,两次卷款潜逃,并试图出售一个并非属于他的论坛。事实证明,道德黑客“负责任的信息披露”是有选择性的。
真实身份是如何关联出 PwnForums称,该归因得到了许多技术证据的支持,例如个人帐户和非法活动之间重复使用IP地址和登录密码,并得到@IntCyberDigest等X用户的认可。
从邮箱进行关联,Angel Tsvetkov一个常用的匿名邮箱为[email protected],常使用用户名SecPentester1337与secpente123,在RaidForums、Cracked.to、Dedicatet.com和Altenen等多个网络犯罪论坛注册了账号,填写的出生日期为1993年1月28日,另外在RaidForums论坛上还有一个用户名Vojilion9292与同一邮箱关联。
此外,[email protected]邮箱还关联了一个Twitter账号,注册于2018年9月29日,账号名为“Peter”,用户名为@Peter00111Peter,所在地为保加利亚,个人简介为:“渗透测试/漏洞猎手/道德黑客”。此人在多个正常论坛上使用多个名字,所有名字都与同一个电子邮件地址关联,所有地址都指向保加利亚普罗夫迪夫。
从密码进行关联,N/A的论坛账户密码被破解出来是“Awdawd123!”,然而有趣的是,Angel Tsvetkov个人网络安全咨询公司的官方商务邮箱[email protected]也反复使用同一个密码。
PwnForums感叹,这位获得认证的道德黑客、HackerOne会员、曾为多家机构提供密码安全咨询的人士,竟然在犯罪论坛账号和自己的商务邮箱中重复使用同一个密码。
从IP进行关联,N/A曾使用过的IP地址中有一个是78.130.187.42,该IP地址曾用于登录RaidForums和Cracked等论坛,该IP地址的地理位置位于保加利亚普罗夫迪夫。
无语的是,N/A曾联系PwnForums吹嘘其在该论坛植入后门并上传了一个名称为nike-sh.txt的文件,后该论坛管理员查看nike-sh.txt的访问日志,有且仅有一个IP:78.130.187.42,PwnForums认为Angel Tsvetkov通过自己的家庭IP地址访问了这个文件。
道德黑客Angel Tsvetkov驳斥了这些指控,称其“不实” 然而,保加利亚网络安全专家安吉尔·茨韦特科夫(Angel Tsvetkov)在接受采访时,断然否认了有关他是知名网络犯罪论坛BreachForums管理员的指控。茨韦特科夫称,散布的数据“是虚假的,而且极具破坏性”,并声称这些数据是基于“来自与网络犯罪相关的来源的未经证实的说法”。
当被直接问及他与该平台的所谓关联时,这位道德黑客坚称他没有参与BreachForums论坛的管理或运营,并否认拥有与网络犯罪活动相关的账户或化名。他表示:“我与相关人员没有任何关系,也从未在这些论坛担任过管理员或任何类似职务。”
关于他的身份与网络安全社区内这些活动之间的关联,这位专家指出,他并不清楚第三方是如何在未经授权的情况下使用他的数据的,并澄清说他目前正在分析情况。“我不知道第三方是如何在未经我授权的情况下在这个论坛上使用我的身份和数据的,”他表示。
这位专家在最初的沟通中坚称,已发布的信息“并不反映现实”,并警告说,信息的传播可能会产生影响。
“由于这篇文章的发表,有关我的虚假信息正在传播,执法部门和其他第三方也能看到这些信息,”他指出。