威胁情报公司KELA Research and Strategy Ltd.今日发布的最新报告详细披露了网络犯罪平台DarkForums的快速崛起及其领导层内幕。该平台正在填补今年早些时候BreachForums被取缔后留下的市场真空。
犯罪论坛的更迭多年来在网络犯罪社区占据重要地位的BreachForums,随着其创始人于2023年被捕,以及包括ShinyHunters和IntelBroker在内的领导层成员在今年六月相继落网,最终走向覆灭。借此机会,DarkForums迅速填补空缺,在四月至六月期间用户规模激增600%。该平台最初于2022年11月以"DARK4RMY Forums"名称上线,后更名为更简洁的DarkForums。
平台运营模式报告将DarkForums描述为一个数据泄露、恶意软件分发和黑客工具交易的活跃中心,其视觉设计和运营模式都刻意模仿BreachForums。该平台不仅采用了相似界面设计(见上图),还接管了原BreachForums的Telegram用户群组。
该论坛与总部位于印度的DarkArmy黑客组织关系密切,由化名"Lucifer"和"MrR0b0t"的管理员领导。Lucifer是来自印度巴朗吉尔的一名程序员,自称道德黑客,曾是网站的初始管理者。但与BreachForums不同,该平台主要提供聚合内容而非发起原创攻击。
管理员数字足迹KELA研究人员发现,Lucifer的操作安全意识薄弱,留下了大量数字痕迹,包括多个电子邮箱、GitHub存档以及闲置的社交媒体资料。他已于2024年8月退休,将DarkForums控制权移交给名为"Knox"的继任者。
Knox于2023年中注册论坛账号,在Lucifer退休后活跃度激增,延续了从其他渠道聚合泄露数据的运营模式。KELA指出Knox曾使用"Asmodeus"作为别名,暗示其对路西法神话的个人痴迷。另有未经证实的线索表明其可能来自印度尼西亚。
核心成员图谱另一位关键人物"AnonOne"作为早期管理员出现,其网络活动与Lucifer高度重合,包括在HydraMarket和BreachForums等多个平台发布几乎相同的帖子。KELA怀疑此人可能是DarkForums管理层为建立公信力而精心设计的虚拟身份。
论坛初期版主"MrR0b0t"和"MrNoiz"也被研究人员追踪到大量数字踪迹。MrR0b0t位于印度哈里亚纳邦,关联多个公开平台账户;MrNoiz生活在美国,后转型使用新身份"SPYDIR",其真实信息因恶意软件感染意外泄露。
平台发展前景尽管这些细节堪比网飞纪录片素材,但KELA报告指出,虽然DarkForums作为BreachForums的替代平台崭露头角,但其管理团队在运营成熟度上远不及前任,主要扮演内容聚合者而非主动威胁发起者的角色。
值得注意的是,DarkForums的快速崛起加之明显的操作安全缺陷,预示着该平台可能持续在网络犯罪领域保持重要地位,值得安全社区持续关注。
参考来源:
How DarkForums filled the gap left by defunct hacking forum BreachForums