揭秘BreachForums:网络犯罪论坛的兴衰与执法打击
2025年6月25日,法国当局宣布在多个地区逮捕了四名ShinyHunters(也称为ShinyCorp)网络犯罪组织的成员,罪名包括网络犯罪活动及参与英语地下论坛BreachForums。此次全球执法行动针对"ShinyHunters"、“Hollow”、“Noct"和"Depressed"等身份,紧随2025年2月Kai West(又名"IntelBroker”)的被捕,后者曾管理BreachForums。
ShinyHunters威胁组织自2020年起活跃,曾入侵电信、电子商务、技术和零售等行业组织。该组织以专门在RaidForums和BreachForums上出售被盗数据而闻名。ShinyHunters身份是这些论坛的关键参与者和管理员。
自2015年最初作为RaidForums创建以来,BreachForums多次被关停并由多个身份管理。表1列出了该论坛历史上重大事件的时间线。
表1:BreachForums主要事件时间线
| 日期 | 事件 | 详情 |
|---|---|---|
| 2015年3月19日 | RaidForums启动 | Diogo Santos Coelho(又名"Omnipotent")创立RaidForums,成为最大的数据泄露论坛之一,用户数峰值超过53万。 |
| 2022年1月31日 | 逮捕 | Coelho应美国当局要求在英国被捕。 |
| 2022年2月25日 | 论坛下线 | RaidForums无法访问,出现疑似凭证收集克隆站点。 |
| 2022年3月4日 | BreachForums(v1)启动 | Conor Fitzpatrick(又名"Pompompurin")推出BreachForums作为RaidForums的继任者。 |
| 2022年4月12日 | 域名查封 | 美国当局宣布作为"Operation TOURNIQUET"行动的一部分查封RaidForums域名。 |
| 2023年3月15日 | 逮捕 | Fitzpatrick在纽约Peekskill被捕。 |
| 2023年3月21日 | 论坛下线 | 管理员"Baphomet"以执法行动担忧为由关闭论坛。 |
| 2023年6月12日 | BreachForums(v2)启动 | ShinyHunters身份和Baphomet重新启动BreachForums(breachforums.vc)。 |
| 2023年6月18日 | 论坛被入侵 | BreachForums被"OnniForums"入侵,约4000名成员数据泄露。 |
| 2024年5月15日 | 域名查封 | 美国当局查封多个BreachForums域名。 |
| 2024年5月29日 | BreachForums(v3)启动 | BreachForums重新出现(breachforums.st)。用户怀疑是蜜罐,但最终被确认为合法。 |
| 2024年6月14日 | 领导权变更 | ShinyHunters退休,“Anastasia"接管所有权。 |
| 2024年8月1日 | 领导权变更 | IntelBroker接管控制权。 |
| 2025年1月1日 | 领导权变更 | IntelBroker辞去所有者职务,Anastasia继续担任论坛管理员。 |
| 2025年2月 | 逮捕 | 国际执法部门在法国逮捕Kai West(IntelBroker)。 |
| 2025年4月28日 | 论坛下线 | 尽管有多种声称和谣言,论坛消失的原因不明。 |
| 2025年6月4日 | BreachForums(v4)启动 | ShinyHunters重新启动论坛(breach-forums.st)。 |
| 2025年6月9日 | 论坛出售 | ShinyHunters宣布论坛以2500美元出售。 |
| 2025年6月22日 | 逮捕 | 法国当局在协调执法行动中逮捕ShinyHunters威胁组织成员。 |
| 2025年6月25日 | 联邦指控 | 美国当局公布对Kai West(IntelBroker)的多项网络犯罪指控。 |
ShinyHunters身份与Baphomet合作,于2023年6月重新启动了BreachForums的第二版(v2),随后在2025年6月单独启动了第四版(v4)。中间版本(v3)于2025年4月突然消失,原因不明。“Dark Storm Team"声称通过分布式拒绝服务(DDoS)攻击关闭了论坛(见图1)。其他身份报告称,Qilin勒索软件运营商因被BreachForums封禁而报复导致中断。还有谣言称执法部门是原因。
图1:Dark Storm声称对BreachForums关停负责。(来源:X)
2025年6月4日,Counter Threat Unit™(CTU)研究人员发现BreachForums(v4)在ShinyHunters身份的管理下重新启动。首批帖子之一据称由IntelBroker发布,他是BreachForums的著名贡献者,曾在2024年控制BreachForums(v3)。该身份以出售数据库转储和受入侵系统访问权限而闻名,并与网络犯罪组织CNZ(已编辑)和GOLD PUMPKIN(也称为HELLCAT)有关联。2025年1月,他们辞去BreachForums所有者职务(见图2),并有被捕的谣言流传。这些谣言在6月25日被证实,美国司法部(DOJ)宣布对以IntelBroker别名操作的Kai West提出指控。West于2月被捕,因此6月的BreachForums帖子是由冒充该身份的人提交的。
图2:IntelBroker宣布辞去BreachForums所有者职务。(来源:X)
BreachForums(v4)的重新启动短暂。6月9日,公告板显示论坛已关闭,并以2500美元出售(见图3)。消息明确警告骗子"远离”。ShinyHunters成员两周后被逮捕。
图3:ShinyHunters广告出售BreachForums。(来源:BreachForums)
截至本文发布,BreachForums仍处于离线状态。论坛的未来不明,但重新启动的模式可能会继续。
这些逮捕反映了执法部门对网络犯罪基础设施和行动的压力增加。在美国司法部关于Kai West被捕和指控的公告中,FBI助理主任Christopher G. Raia表示,逮捕"应作为对任何认为可以躲在键盘后逍遥法外实施网络犯罪的人的警告;FBI将找到并追究你的责任,无论你在哪里。” CTU™研究人员继续监控执法行动及其对网络犯罪格局的影响。