XSS犯罪论坛突袭行动:被捕管理员身份深度解析
2025年7月22日,欧洲警察机构Europol宣布,一项由法国警方主导的长期调查最终逮捕了XSS论坛的一名38岁管理员。XSS是一个拥有超过5万名成员的俄语网络犯罪论坛。此举在XSS用户中引发了持续的猜测和恐慌,但共识认为被捕者是犯罪论坛界的关键人物,黑客代号为“Toha”。以下是对Toha已知信息的深入分析,以及对被捕者身份的简要推测。
突袭行动详情
Europol未公开被告姓名,但发布了部分模糊的突袭基辅住所照片。警方称嫌疑人充当可信第三方——仲裁犯罪分子之间的纠纷——并保证XSS上的交易安全。乌克兰SBU安全部门的声明称,XSS成员包括来自多个勒索软件组织的网络犯罪分子,如REvil、LockBit、Conti和Qiliin。
自Europol公告以来,XSS论坛在深网新地址(仅可通过Tor匿名网络访问)重新上线。但从近期帖子看,老成员对被捕管理员身份的看法分歧很大。
Toha的背景与历史
最频繁的评论是对Toha的声援和支持,Toha是XSS及其他几个主要俄语论坛的长期管理员代号。自突袭以来,Toha在其他论坛的账户一直沉默。
Europol称嫌疑人从事网络犯罪近20年,这与Toha的历史大致吻合。2005年,Toha是俄语论坛Hack-All的创始成员,但该论坛在推出几个月后遭大规模黑客攻击。2006年,Toha将论坛更名为exploit[.]in,该论坛最终吸引了数万名成员,包括最终的通缉网络犯罪分子名单。
2018年,Toha宣布出售Exploit论坛,引发论坛广泛猜测买家是俄罗斯或乌克兰政府实体或前台人物。但这些怀疑缺乏证据支持,Toha强烈否认论坛已移交当局。
最古老的俄语网络犯罪论坛之一是DaMaGeLaB,运营从2004年到2017年,其管理员“Ar3s”被捕。2018年,DaMaGeLaB论坛的部分备份以xss[.]is形式重生,Toha为其声明的管理员。
身份线索与调查
关于Toha早期互联网存在(约2004年至2010年)的线索可在网络情报公司Intel 471的档案中找到。Intel 471显示Toha在多个论坛账户使用同一电子邮件地址,包括Exploit、Antichat、Carder[.]su和inattack[.]ru。
DomainTools.com发现Toha的电子邮件地址——toschka2003@yandex.ru——用于注册至少十几个域名,其中大多数来自2000年代中期至晚期。除exploit[.]in和名为ixyq[.]com的域外,其他注册到该电子邮件地址的域名以.ua结尾,这是乌克兰的顶级域(例如deleted.org[.]ua、lj.com[.]ua和blogspot.org[.]ua)。
几乎所有注册到toschka2003@yandex.ru的域名在注册记录中都包含Anton Medvedovskiy的名字,除了前述的ixyq[.]com,该域注册到莫斯科的Yuriy Avdeev名下。
Lockbitsupp的查询与Avdeev姓氏
2024年2月,Lockbit勒索软件附属组织领导人Lockbitsupp在寻求帮助识别Toha真实身份时,Avdeev姓氏出现在长篇对话中。Lockbitsupp未分享为何需要Toha的详细信息,但坚称Toha的真名是Anton Avdeev。
Lockbitsupp的查询基于2022年一条已删除的Twitter帖子,用户“3xp0rt”断言Toha是一名俄罗斯男子,名为Anton Viktorovich Avdeev,出生于1983年10月27日。
搜索Toha的电子邮件地址toschka2003@yandex.ru,发现2010年论坛bmwclub.ru上的销售帖子,用户Honeypo出售2007年宝马X5。广告列出的联系人为Anton Avdeev,联系电话为9588693。
在违规跟踪服务Constella Intelligence中搜索电话号码9588693,找到大量俄罗斯政府记录,包含该号码、出生日期和姓名Anton Viktorovich Avdeev。例如,被黑的俄罗斯政府记录显示该人拥有俄罗斯税号和社会安全号,并多次因交通违规被莫斯科警方标记;2004年、2006年、2009年和2014年。
敏锐的读者可能已注意到,Avdeev先生(41岁)和本月被捕的XSS管理员(38岁)的年龄有些出入。这似乎表明被捕者不是Avdeev先生,后者未回应评论请求。
内部视角:Sergeii Vovnenko的见解
为深入探讨此问题,KrebsOnSecurity寻求了Sergeii Vovnenko的评论。Vovnenko是乌克兰前网络犯罪分子,现就职于安全初创公司paranoidlab.com。联系Vovnenko是因为从2010年左右开始的几年里,他是these