执法打击XSS论坛——但能持续多久？

更新日期：2025年7月25日东部时间上午8:00

本周，执法机构在对网络犯罪经济的打击中取得重大胜利：取缔了臭名昭著的XSS论坛并逮捕了其疑似管理员。

欧洲刑警组织周三表示，乌克兰当局逮捕了一名涉嫌运营XSS的无名个体，该机构称XSS是"全球最具影响力的俄语网络犯罪平台之一"。不久后，域名XSS.is被法国当局查封并关闭。此次执法行动是今年针对网络犯罪论坛及其 alleged 运营者的最新高调行动。

据欧洲刑警组织称，这名无名嫌疑人于7月22日在乌克兰基辅被捕。逮捕行动是法国警方和巴黎检察官办公室主导的协调执法行动的一部分，并得到了乌克兰当局和欧洲刑警组织的支持。

逮捕和取缔的消息在信息安全界引起轩然大波。SOCRadar首席信息安全官（CISO）Ensar Seker表示，此次执法行动标志着对抗更广泛网络犯罪生态系统的"关键时刻"。

“XSS不仅仅是另一个暗网市场，它是过去几年最具影响力的俄语网络犯罪论坛，“Seker说。“它是高级行为者的关键枢纽，包括勒索软件附属机构、初始访问经纪人、恶意软件开发者和洗钱促成者。事实上，许多最著名的[勒索软件即服务]团体要么通过XSS招募，要么通过其进行交易。”

相关阅读：敏捷的’Gunra’勒索软件进化出Linux变种

在线恶意软件样本和安全研究存储库XV Underground昨天在社交媒体平台X上发帖称，此次逮捕可能对[独立国家联合体]网络犯罪生态系统造成"巨大打击”。

Huntress的首席安全研究员John Hammond指出，该论坛的明网和暗网域名均已被关闭。“XSS历来是最大的网络犯罪论坛之一，因此这对非法行业将是一个重大打击，“他说。

XSS标记点？

XSS的起源至少可追溯至2013年，当时该俄语网络犯罪论坛名为DamageLab。2017年底，白俄罗斯当局逮捕了该网站的管理员Sergey “Ar3s” Yarets，他在与当局合作后不到一年即获释。

在此期间，论坛以XSS的名义重新启动，显然是指跨站脚本（XSS）漏洞。在过去的八年中，XSS发展成为网络犯罪地下世界中最活跃和最受欢迎的市场之一。SOCRadar将XSS评为全球头号暗网网络犯罪论坛，并称其为"一个繁忙的黑客论坛，讨论围绕未经授权的访问销售、恶意软件、安全漏洞和数据库交易展开”。

相关阅读：AI生成的Linux矿工’Koske’击败人类恶意软件

欧洲刑警组织指出，该论坛拥有超过50,000名注册用户，是许多最臭名昭著的网络犯罪行动和勒索软件团伙招募成员、策划攻击和宣传其服务的中枢。

近年来，许多网络犯罪论坛和暗网市场被当局取缔，但往往很快又死灰复燃。但疑似管理员的逮捕可能会使此次执法行动产生更大影响。

“让XSS脱颖而出的不仅仅是规模，还有信任，“Seker说。“它保持了严格的审查流程、活跃的版主团队、托管服务和声誉系统，促进了从信息窃取者日志到零日交易的一切。”

XSS管理员的逮捕开启了历史重演的可能性；如果这名无名嫌疑人像据报道Yarets多年前那样与当局合作，不仅可能摧毁XSS社区内的信任，还可能引发更多调查、指控甚至逮捕。

相关阅读：教育部网站被仿冒用于钓鱼计划

就目前而言，执法行动消除了网络犯罪分子的一个关键资源，鉴于该论坛作为首选目的地的地位，这可能产生重大影响，Hammond说。“这个确实让我印象深刻，因为XSS作为最老牌的网络犯罪论坛之一是如此臭名昭著和知名，“他说。“我认为这次取缔和逮捕确实从在线网络犯罪生态系统中挖走了一大块。”

Seker同意，网站的取缔至少会暂时消除网络犯罪分子的一个关键协调点。但他指出，类似论坛的取缔往往证明是短暂的，威胁行为者经常转移到新平台或去中心化替代方案，如Telegram频道。因此，虽然执法行动很重要，但他表示从长远来看，它们不太可能减少整体威胁格局。

同样，Intel 471的对手情报团队表示，确定执法行动的全面影响还为时过早，并指出XSS成员可能转移到其他论坛以"避免进一步审查”。

“Duty-Free和RAMP论坛是吸引寻求新主要论坛进行操作的行为者的可能候选者，“该团队在给Dark Reading的声明中表示。