文章总结： 报告显示Telegram上加密货币诈骗市场已成史上最大暗网，月洗钱近20亿美元，涉及杀猪盘及人口贩卖。主要市场利用Tether运作，Telegram以隐私为由拒绝封禁。专家呼吁国际施压。速递部分还涵盖近期APT攻击、恶意软件、数据泄露及重大漏洞事件。 综合评分： 86 文章分类： 威胁情报,安全大事件,区块链安全,漏洞预警,恶意软件

---

连线头条：Telegram上的加密货币诈骗犯正在推动史上规模最大的暗网市场

会杀毒的单反狗

军哥网络安全读报

2025年12月24日 09:00 湖北

导读

十多年前，毒品、枪支和各种违禁品首次出现在暗网上，加密货币和匿名软件 Tor 的技术复杂性似乎是进行价值数十亿美元的在线非法交易的关键。

现在看来，这一切都有些过时了。

2025年，要想在黑市加密货币交易中逍遥法外，只需一个愿意为诈骗犯和人口贩子提供庇护的即时通讯平台，足够的毅力在账号和频道偶尔被封禁后重新开通，以及在Telegram上流利的使用中文。

根据加密货币追踪公司Elliptic的最新分析，基于即时通讯软件Telegram的加密货币诈骗者的市场生态系统如今已发展到前所未有的规模。

尽管Telegram在2025年初封禁了其中两个最大的市场后，规模曾短暂下降，但目前最大的两个市场——土豆担保和新币担保——每月合计促成近20亿美元的洗钱交易，以及销售诸如被盗数据、虚假投资网站和人工智能深度伪造工具等诈骗工具，此外还提供代孕和青少年卖淫等其他黑市服务。

这些骗局被称为“杀猪盘”，主要在东南亚的窝点进行，这些窝点往往聚集着成千上万的人口贩卖受害者。如今，它们已发展成为全球最赚钱的网络犯罪形式。

据美国联邦调查局（FBI）统计，仅在美国，这些骗局每年就从受害者身上榨取约100亿美元。与此同时，像土豆担保和新比担保这样的平台也通过向这些骗局提供洗钱服务和其他诈骗相关产品而迅速发展壮大。

“就加密资产的非法使用而言，目前真的没有比这更大的问题了。”Elliptic 的联合创始人兼首席科学家 Tom Robinson 说。

事实上，这些犯罪交易区不仅是目前最大的在线黑市，也是历史上最大的黑市。

AlphaBay曾是最大的暗网毒品、被盗数据和黑客工具市场。据美国联邦调查局 (FBI) 描述，AlphaBay 的规模在其鼎盛时期是原丝绸之路暗网毒品市场的十倍，在其运营的两年半时间里，交易额超过 10 亿美元。

Hydra是一个俄罗斯暗网市场，也为加密货币窃贼和勒索软件团伙提供洗钱服务，在其运营的七年间，交易额超过 50 亿美元。

相比之下，据Elliptic的数据显示，主要被加密货币诈骗分子利用的中文Telegram黑市Huione Guarantee在2021年至2025年间促成了高达270亿美元的交易，远远超过了此前所有在线黑市，它是在Telegram的即时通讯平台上公开运营的。

Elliptic称其为“有史以来最大的非法在线市场”。

WIRED 通过 Telegram 联系了土豆担保和新币担保的管理员征求意见，但没有收到回复。

今年5月，Telegram似乎终于采取行动，封禁了Huione Guarantee（后更名为Haowang Guarantee），此前美国财政部金融犯罪执法网络（FinCEN）将其列为洗钱平台。

但自那以后，Haowang Guarantee参股的土豆担保（Tudou Guarantee）迅速发展，占据了同样的地位。Elliptic目前统计其月交易额为11亿美元，接近Haowang的14亿美元。

与此同时，第二大加密货币诈骗市场Xinbi Guarantee的月交易额也增长至8.5亿美元——尽管它也在5月被封禁后重新上线——其总交易量比以往任何时候都高。

而这两个黑市只是Elliptic追踪的约30个黑市中的两个，这些黑市的年交易额总计达数百亿美元。

今年6月，《连线》（WIRED）杂志致信Telegram，指出这些市场如何在众目睽睽之下重建其犯罪帝国。

《连线》的一名记者甚至亲身参与了一个Telegram频道，Elliptic在该频道向Telegram的高层人士分享了其关于土豆担保和新比担保反弹的调查结果。

Telegram回应称，他们决定不再封禁这些市场，理由是这些市场为寻求摆脱“资本管制”的用户提供了一个渠道，因为“资本管制往往迫使公民别无选择，只能寻求其他途径进行国际资金转移”。

Telegram在6月给《连线》的声明中继续说道：“我们会逐案评估相关报告，并坚决反对一刀切的禁令——尤其是在用户试图规避专制政权施加的压迫性限制时。我们将始终坚定不移地致力于保护用户隐私和捍卫基本自由，包括金融自主权。”

但Elliptic和其他诈骗行业分析师驳斥了这种说法，指出土豆担保和新币担保等平台上的绝大多数活动都是犯罪行为。

除了诈骗相关服务外，这些平台还贩卖卖淫——新币平台上的帖子暗示存在未成年人性交易，例如广告中出现的“萝莉”或“年轻女孩”性工作者。大量记录显示，这些诈骗平台的客户经常在条件恶劣的现代奴隶制营地中使用强迫劳动者。

“他们有能力打击诈骗经济和人口贩卖。但他们却反而为加密货币诈骗者提供了一个类似 Craigslist 的平台。”前加州圣克拉拉县检察官、现任反诈骗组织“三叶草行动”（Operation Shamrock）负责人艾琳·韦斯特说道。“这些坏人利用他们自己的平台助长了坏人的生意。”

除了 Telegram 之外，加密货币 Tether 在诈骗市场中也扮演着关键角色——这种流行的“稳定币”是所有此类市场洗钱交易的首选工具。

与大多数加密货币不同，Tether 采用中心化结构，这意味着支持该数字货币的公司（也名为 Tether）可以随意扣押或冻结资金，但它却很少干预其所促成的巨额资金流动。

Telegram 和 Tether 均未回应 WIRED 就其在土豆担保和新币担保黑市交易中所扮演的角色提出的置评。

哈佛大学亚洲中心访问学者、跨国犯罪研究专家雅各布·西姆斯认为，Tether和Telegram为打击日益猖獗的诈骗产业而采取的措施，与东南亚执法部门对诈骗窝点的敷衍了事、往往只是作秀式的突袭行动如出一辙，最终往往只是放任其重建并恢复运作。

“各个层面的有罪不罚现象使得任何实质性的打击都无从谈起。”西姆斯说道。

西姆斯认为，只有像打击恐怖主义或毒品贩运那样，国际社会各国政府和执法部门集中合作施压，才能改变这种松懈的态度，包括那些助长诈骗猖獗的公司。

西姆斯表示，对于这个日益猖獗的诈骗产业，各方的应对“尚未达到应有的协调和紧迫程度”。“而这需要提升到与它造成的损害相匹配的优先级别。”

新闻链接：

https://www.wired.com/story/expired-tired-wired-chinese-scammer-crypto-markets/

今日安全资讯速递

APT事件

Advanced Persistent Threat

BlindEagle（盲鹰）黑客组织利用 PowerShell 脚本攻击哥伦比亚政府机构

Blind Eagle Hackers Target Government Agencies Using PowerShell Scripts

Arcane Werewolf黑客组织在其武器库中新增了Loki 2.1恶意软件工具包

Arcane Werewolf Hacker Group Added Loki 2.1 Malware Toolkit to their Arsenal

SideWinder APT黑客组织伪装成印度税务部门攻击印度实体

SideWinder APT Hackers Attacking Indian Entities by Masquerading as the Income Tax Department of India

英国外交部遭受网络攻击

https://www.cybermaterial.com/p/uk-foreign-office-suffers-cyber-attack

一般威胁事件

General Threat Incidents

下载量达 56,000 次的 NPM 包窃取 WhatsApp 凭证和数据

https://www.securityweek.com/npm-package-with-56000-downloads-steals-whatsapp-credentials-data/

法国邮政和银行服务疑似遭受DDoS攻击而中断

France’s postal and banking services disrupted by suspected DDoS attack

日产汽车确认受红帽数据泄露事件影响

https://www.securityweek.com/nissan-confirms-impact-from-red-hat-data-breach/

AuraStealer恶意软件利用欺骗手段窃取敏感数据

https://www.cysecurity.news/2025/12/aurastealer-malware-uses-scam-yourself.html

HardBit 4.0 勒索软件利用不安全的 RDP 和 SMB 协议实现持久访问

HardBit 4.0 Ransomware Abuses Unsecured RDP and SMB for Access Persistence

Clop勒索软件组织与凤凰大学350万美元数据泄露事件有关

https://www.infosecurity-magazine.com/news/university-phoenix-breach-clop/

美国保险巨头Aflac称，黑客窃取了2260万人的个人和健康数据

US insurance giant Aflac says hackers stole personal and health data of 22.6 million people

两款Chrome扩展程序被发现秘密窃取超过170个网站的凭据

https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html

恶意Chrome扩展程序伪装成VPN拦截用户流量窃取凭据

Malicious Chrome Extensions as VPN Intercept User Traffic to Steal Credentials

不法分子冒充韩国电视节目编剧，诱骗受害者并安装恶意软件

Threat Actors Poses as Korean TV Programs’ Writer to Trick Victims and Install Malware

黑客利用ClickFix技术在图像文件中隐藏恶意载荷

Hackers Using ClickFix Technique to Hide Images within the Image Files

Telegram上的加密货币诈骗犯正在推动史上规模最大的暗网市场

https://www.wired.com/story/expired-tired-wired-chinese-scammer-crypto-markets/

Spotify大规模数据抓取事件——8600万首歌曲泄露，总量达300TB

https://hackersonlineclub.com/spotify-data-scrape-hits-tracks-exposed/

新型 MacSync 窃取程序伪装成受信任的 Mac 应用，窃取已保存的密码

New MacSync Stealer Disguised as Trusted Mac App Hunts Saved Passwords

漏洞事件

Vulnerability Incidents

微软紧急发布紧急带外更新以修复消息队列 (MSMQ) 漏洞

https://www.theregister.com/2025/12/23/microsoft_fixes_message_queuing_issue/

Windows映像组件漏洞在复杂的攻击场景下可能导致远程代码执行攻击

Windows Imaging Component Vulnerability Can Lead to RCE Attacks Under Complex Attack Scenarios

HPE OneView漏洞（CVE-2025-37164）可实现远程代码执行，PoC已公开

PoC Exploit Released HPE OneView Vulnerability that Enables Remote Code Execution

n8n 严重缺陷（CVSS 9.9）允许在数千个实例中执行任意代码

Critical n8n flaw could enable arbitrary code execution

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《连线头条：Telegram上的加密货币诈骗犯正在推动史上规模最大的暗网市场》