美国科技巨头对财政部制裁的复杂反应

2025年5月，美国政府制裁了一名中国公民，其运营的云提供商与大多数向FBI报告的虚拟货币投资诈骗网站有关。但新报告发现，被指控者仍在美国科技公司（包括Facebook、GitHub、PayPal和Twitter/X）运营大量账户。

5月29日，美国财政部宣布对Funnull Technology Inc.实施经济制裁，这家菲律宾公司被指控为数十万个涉及虚拟货币投资诈骗（称为“杀猪盘”）的网站提供基础设施。2025年1月，KrebsOnSecurity详细报道了Funnull如何设计为内容交付网络，迎合外国网络犯罪分子寻求通过美国云提供商路由流量。

财政部还制裁了Funnull的 alleged 运营商、40岁的中国公民刘立志（Liu “Steve” Lizhi）。政府称Funnull直接促进了导致美国人超过2亿美元财务损失的金融计划，且该公司运营与大多数向FBI报告的杀猪盘诈骗有关。

美国公司或个人与财政部制裁的人交易通常是非法的。然而，正如刘先生的案例所示，仅因某人被制裁并不一定意味着大型科技公司会暂停其在线账户。

政府称刘立志出生于1984年11月13日，使用昵称“XXL4”和“Nice Lizhi”。尽管如此，Steve Liu在LinkedIn上17年的账户（名为“Liulizhi”）有数百名关注者（刘的LinkedIn个人资料 helpful 确认了他的生日），直到最近：该账户于今早删除，就在KrebsOnSecurity寻求LinkedIn评论几小时后。

刘先生的LinkedIn账户在过去24小时内被暂停， after KrebsOnSecurity sought comment from LinkedIn.

在电子邮件回复中，LinkedIn发言人表示，公司的“禁止国家政策”规定LinkedIn“不向受美国政府制裁的个人和公司销售、许可、支持或以其他方式提供其高级账户或其他付费产品和服务”。LinkedIn拒绝说明相关个人资料是高级还是免费账户。

刘先生还以刘立志的名义和用户名“@nicelizhi”（财政部制裁中列出的另一个昵称）维护一个有效的PayPal账户。一个15年历史的Twitter/X账户名为“Lizhi”，链接到刘先生的个人域名，仍然活跃，尽管关注者很少且多年未发帖。

这些账户和许多其他账户被安全公司Silent Push标记，该公司过去一年一直在跟踪Funnull的运营，并呼吁亚马逊和微软等美国云提供商更快切断与公司的联系。

刘立志的PayPal账户。

在今日发布的报告中，Silent Push发现刘立志仍运营多个Facebook账户和群组，包括一个以刘立志名义的私人Facebook账户。另一个明显与刘立志相关的Facebook账户是中国赣州的旅游页面“EnjoyGanzhou”，该页面在财政部制裁中被命名。

“这个人是托管大多数针对美国人的诈骗网站基础设施的技术管理员，基于他托管的网站，已损失数亿美元，”Silent Push高级威胁研究员Zach Edwards说。“令人疯狂的是，绝大多数大型科技公司没有采取任何措施切断与这个人的联系。”

FBI称去年收到近15万起涉及数字资产的投诉，损失93亿美元——比前一年增加66%。投资诈骗是报告最多的加密相关犯罪，损失58亿美元。

在声明中，Meta发言人表示公司持续采取措施履行法律义务，但制裁法律复杂多样。他们解释说制裁通常是针对性的，并不总是禁止人们在其平台上存在。尽管如此，Meta确认已删除账户、未发布页面，并移除违反政策的群组和事件。

通过刘先生在Hotmail和Gmail的主要电子邮件地址联系尝试退回为不可交付。同样，他14年历史的YouTube频道似乎最近被取下。

然而，任何有兴趣查看或使用刘先生146个计算机代码仓库的人都可以轻松找到他的GitHub账户，包括以财政部制裁中提到的NiceLizhi和XXL4昵称注册的账户。

刘“Steve”立志使用的多个GitHub个人资料之一，使用昵称XXL4（财政部制裁中列出的刘先生的别名）。

刘先生还运营一个GitHub页面，用于名为NexaMerchant的开源电子商务平台，该平台自称为与众多美国金融机构合作的支付网关。有趣的是，此个人资料的“关注者”页面显示其他几个似乎是刘先生的账户。所有账户的关注者都被标记为“暂停”，尽管访问这些个人资料时不会显示暂停消息。

回应问题时，GitHub表示有流程识别用户和客户是否为特别指定国民或其他被拒绝或阻止方，但会锁定这些账户而不是删除它们。根据其政策，GitHub确保用户和客户不受超出法律要求的影响。

XXL4 GitHub账户的所有关注者账户似乎是刘先生的，已被GitHub暂停，但他们的代码仍可访问。

“这包括保持公共仓库（包括开源项目）可用和可访问，以支持涉及制裁地区开发者的个人通信，”政策规定。“这也意味着GitHub将倡导制裁地区开发者享受更多平台访问和全球开源社区的完全访问。”

Edwards说GitHub有处理制裁账户的流程很好，但该流程似乎不以透明方式沟通风险，指出锁定账户上的唯一指示是消息“此仓库已被所有者存档。它不是只读的。”

“这是一个奇怪的消息，没有沟通‘这是一个制裁实体，不要分叉此代码或在生产环境中使用它’，”Edwards说。

Mark Rasch是前联邦网络犯罪检察官，现为纽约市安全咨询公司Unit 221B的顾问。Rasch说当财政部外国资产控制办公室（OFAC）制裁个人或实体时，企业或组织与制裁方交易变得非法。

Rasch说金融机构有非常成熟的系统切断与受OFAC制裁的人相关的账户，但科技公司可能远不那么主动——尤其是免费账户。

“银行有 established 方式检查[美国政府制裁列表]中的制裁实体，但科技公司不一定做得很好，特别是对于只需点击注册的服务，”Rasch说。“这对涉及的科技公司是潜在风险和 liability，但仅限于OFAC愿意执行的程度。”

刘立志运营多个Facebook账户和群组，包括这个用于OFAC制裁中指定实体的页面：中国赣州的“Enjoy Ganzhou”旅游页面。图像：Silent Push。

2024年7月，Funnull购买了域名polyfill[.]io，这是一个长期合法的开源项目的家，允许网站确保使用旧版浏览器的设备仍能以新格式渲染内容。Polyfill域名易手后，至少384,000个网站陷入供应链攻击，重定向访问者到恶意网站。根据财政部，Funnull使用代码重定向人们到诈骗网站和在线赌博网站，其中一些与中国犯罪洗钱操作有关。

美国政府称Funnull为其购买的IP地址上的网站提供域名，使用域名生成算法（DGAs）——为网站生成大量相似但唯一名称的程序——并向网络犯罪分子销售网页设计模板。

“这些服务不仅使网络犯罪分子在创建诈骗网站时更容易冒充可信品牌，还允许他们在合法提供商尝试取下网站时快速切换到不同域名和IP地址，”财政部声明写道。

与此同时，Funnull似乎在制裁后改变其业务的几乎所有方面，Edwards说。

“而之前他们可能使用60个DGA域名隐藏和反弹流量，我们现在看到 far more，”他说。“他们正试图使基础设施更难跟踪和更复杂，所以目前他们不会消失，而是更多改变他们在做的事情。许多组织应该对他们施加压力。”

更新，美国东部时间下午2:48：添加Meta回应，确认已关闭与刘先生相关的账户和群组。

更新，7月7日美国东部时间下午6:56：在书面声明中，PayPal表示持续努力打击和防止其服务的非法使用。

“我们在全球投入大量资源于金融犯罪合规，并主动向执法官员提交案件并协助他们努力识别、调查和停止非法活动，”声明写道。