揭秘BreachForums:执法行动如何打击网络犯罪论坛
2025年6月25日,法国当局宣布,在网络犯罪活动及参与英语地下论坛BreachForums的关联下,ShinyHunters(也称为ShinyCorp)网络犯罪组织的四名成员在法国多个地区被捕。这次针对“ShinyHunters”、“Hollow”、“Noct”和“Depressed”等角色的全球协调执法行动,紧随2025年2月Kai West(也称为“IntelBroker”)的逮捕,后者曾管理BreachForums。
ShinyHunters威胁组织自2020年以来一直活跃,并入侵了电信、电子商务、技术和零售等行业的组织。该组织以专门在RaidForums和BreachForums上出售被盗数据而闻名。ShinyHunters角色是这些论坛的关键参与者和管理员。
自2015年最初创建为RaidForums以来,BreachForums多次被关闭,并由多个角色管理。表1列出了论坛历史上重大事件的时间线。
| 日期 | 事件 | 详情 |
|---|---|---|
| 2015年3月19日 | RaidForums启动 | Diogo Santos Coelho(也称为“Omnipotent”)创立了RaidForums。它成为最大的数据泄露论坛之一,用户数峰值超过53万。 |
| 2022年1月31日 | 逮捕 | Coelho应美国当局请求在英国被捕。 |
| 2022年2月25日 | 论坛下线 | RaidForums变得无法访问,出现疑似凭据收集的克隆版本。 |
| 2022年3月4日 | BreachForums (v1) 启动 | Conor Fitzpatrick(也称为“Pompompurin”)推出了BreachForums,作为RaidForums的继任者。 |
| 2022年4月12日 | 域名查封 | 美国当局宣布作为Operation TOURNIQUET的一部分,查封了RaidForums的域名。 |
| 2023年3月15日 | 逮捕 | Fitzpatrick在纽约Peekskill被捕。 |
| 2023年3月21日 | 论坛下线 | 一位名为“Baphomet”的管理员以执法行动担忧为由关闭了论坛。 |
| 2023年6月12日 | BreachForums (v2) 启动 | ShinyHunters角色和Baphomet重新启动了BreachForums (breachforums . vc)。 |
| 2023年6月18日 | 论坛被入侵 | BreachForums被“OnniForums”入侵,约4000名成员的数据被泄露。 |
| 2024年5月15日 | 域名查封 | 美国当局查封了多个BreachForums域名。 |
| 2024年5月29日 | BreachForums (v3) 启动 | BreachForums重新出现 (breachforums . st)。用户怀疑它是蜜罐,但最终被认定为合法。 |
| 2024年6月14日 | 领导层变更 | ShinyHunters退休,“Anastasia”接任所有者。 |
| 2024年8月1日 | 领导层变更 | IntelBroker接管控制权。 |
| 2025年1月1日 | 领导层变更 | IntelBroker辞去所有者职务,Anastasia继续担任论坛管理员。 |
| 2025年2月 | 逮捕 | 国际执法机构在法国逮捕了Kai West (IntelBroker)。 |
| 2025年4月28日 | 论坛下线 | 尽管有许多声称和谣言,但论坛消失的原因尚不清楚,可能是管理员、另一个威胁组织或执法机构所为。 |
| 2025年6月4日 | BreachForums (v4) 启动 | ShinyHunters重新启动了论坛 (breach-forums . st)。 |
| 2025年6月9日 | 论坛出售 | ShinyHunters宣布论坛以2500美元的价格出售。 |
| 2025年6月22日 | 逮捕 | 法国当局在一次协调执法行动中逮捕了ShinyHunters威胁组织的成员。 |
| 2025年6月25日 | 联邦指控 | 美国当局公开了对Kai West (IntelBroker) 的多项网络犯罪指控起诉书。 |
表1:BreachForums主要事件时间线。
ShinyHunters角色与Baphomet合作,于2023年6月重新启动了BreachForums的第二个实例(v2),并在2025年6月单独启动了实例(v4)。中间版本(v3)于2025年4月突然消失,原因不明。“Dark Storm Team”声称通过分布式拒绝服务(DDoS)攻击关闭了论坛(见图1)。其他角色报告称,Qilin勒索软件运营商因被BreachForums封禁而报复导致中断。还有谣言称执法机构是原因。
图1:Dark Storm声称对BreachForums关闭负责。(来源:X)
2025年6月4日,Counter Threat Unit™(CTU)研究人员发现BreachForums(v4)在ShinyHunters角色的管理下重新启动。首批帖子之一据称由IntelBroker发布,他是BreachForums的著名贡献者,曾于2024年接管BreachForums(v3)。该角色以出售数据库转储和受入侵系统的访问权限而闻名,并与网络犯罪组织CNZ(已编辑)和GOLD PUMPKIN(也称为HELLCAT)有关联。2025年1月,他们辞去了BreachForums所有者的职务(见图2),并流传出被捕的谣言。这些谣言在6月25日得到确认,美国司法部(DOJ)宣布公开对以IntelBroker别名操作的Kai West的起诉书。West于2月被捕,因此6月的BreachForums帖子是由冒充该角色的人提交的。
图2:IntelBroker宣布辞去BreachForums所有者职务。(来源:X)
BreachForums(v4)的重新启动短暂。6月9日,公告板显示论坛已关闭,并以2500美元的价格出售(见图3)。消息明确警告骗子“远离”。ShinyHunters成员两周后被捕。
图3:ShinyHunters广告出售BreachForums。(来源:BreachForums)
截至本文发布,BreachForums仍处于离线状态。论坛的未来尚不清楚,但重新启动的模式可能会继续。
这些逮捕反映了执法机构对网络犯罪基础设施和行动的压力日益增加。在美国司法部关于Kai West逮捕和起诉的公告中,FBI助理主任Christopher G. Raia表示,逮捕“应作为警告,任何人认为他们可以躲在键盘后逍遥法外地实施网络犯罪;FBI将找到并追究你的责任,无论你在哪里。” CTU™研究人员继续监控执法行动及其对网络犯罪格局的影响。