文章总结： 2025年暗网生态剧震：俄语XSS与英语BreachForums相继遭执法查封或蜜罐化，管理员被捕、域名贴横幅，用户四散至Exploit、Telegram等碎片化平台；生命周期缩短、退出骗局常态化，信任崩塌迫使交易转向邀请制小群与明网通讯，分析师需追踪人员资金链与跨平台动态，把每次查封当情报金矿。 综合评分： 88 文章分类： 威胁情报,暗网生态,执法行动,网络安全,数据泄露

2025 年暗网生态大地震总结

原创

独眼情报 独眼情报

独眼情报

2026年1月18日 14:42 湖北

如果你像「独眼情报」一样在 2025 年密切关注暗网生态系统，你可能会注意到它显得非常不稳定。虽然暗网一直以其不稳定性著称，洋葱站点经常上线又下线，但今年感觉有所不同,成熟且老牌的站点发生了很多永久性的变化，管理人员也在走马灯式地更替。

今年受影响最显著的站点包括 XSS,一个长期存在的俄语漏洞利用、访问权限和勒索软件附属机构枢纽，以及 BreachForums——英语世界数据泄露和凭据交易的核心阵地。该论坛多年来历经变迁，但似乎总能卷土重来。

但它们只是宏大故事的一部分，其中还包括 Telegram 等平台上的「影子市场」。

在 2026 年伊始，我们希望深入探讨 2025 年发生的事件：XSS、 BreachForums 不断重生的传奇，分析跑路和查封如何重塑地下世界的信任机制，以及这一切对防御者和分析师意味着什么。

XSS

多年来，XSS（前身为 DaMaGeLaB）一直是极具影响力的俄语网络犯罪论坛之一。它是漏洞利用程序、被盗访问权限和恶意软件的交易市场，也是勒索软件团队的招募基地。作为一个成熟的站点，它在用户之间建立了一个高度信任的环境，使其能够交易工具和服务。该网站自 2013 年开始运营，据估计拥有超过 50,000 名注册用户。

然而，在 2025 年中期，XSS 时代正式宣告终结。在欧洲刑警组织的支持下，法国和乌克兰的执法机构针对 XSS 发起行动，这项调查始于 2021 年，历时数年。行动最终导致一名 38 岁的嫌疑人在基辅被逮捕，据称此人是 XSS 的主要管理员。不久后，XSS 域名显示出经典的执法部门查封横幅，标志着当局已控制其基础设施，并可能获取了后端数据和通信内容。这标志着执法行动的一个转变，因为他们通常针对暗网上的英语网站，而俄罗斯网站通常更难以渗透。

图 1：XSS 查封公告

对于一个迎合包括主要勒索软件组织附属机构在内的资深攻击者的论坛来说，这是一次沉重的打击。此次查封的价值不仅在于关闭了网站，更在于可能收集到的情报，据信包括数据库内容、私信、交易细节和运营信息。最初，这似乎也留下了一个权力真空，让这些攻击者失去了互动和发布广告的场所。

然而，像往常一样，该社区并未随着域名的消失而瓦解，且域名随后确实重新出现了。部分成员迁移到了 Exploit 或 RAMP 等其他俄语论坛。Exploit 作为另一家资深论坛，似乎成为了首选的主要阵地。还有一些人试图以略有不同的品牌重新推出 XSS，力求保持其声誉和用户群的完整。然而，新用户的注册过程困难重重，许多在线评论者认为 XSS 现在已成为执法部门运营的「蜜罐」。社区中的许多人似乎对继续使用更新后的网站持谨慎态度。

最终结果是，XSS 作为一个品牌已经破碎，但底层的攻击者依然活跃，并转移到了其他论坛。对于网络安全分析师而言，重心虽然发生了偏移，但威胁并未消失。这场「打地鼠」游戏仍在继续。

BreachForums

在英语世界中，BreachForums 多年来一直是备受瞩目的据点。它在 RaidForums 被查封后于 2022 年左右上线。该网站主要以出售和分享数据泄露、交易和赠送凭据转储，以及讨论黑客攻击、权限出售和「刷名声」帖子而闻名。

从那时起，BreachForums 就陷入了一个循环。

图 2

BreachForums v1在 RaidForums 被查封后上线，其创始人 Pompompurin 被捕后，该站点随后也被下线。Pompompurin 随后被起诉，传言称该网站曾作为蜜罐运行。

2025 年 9 月，创始人 Pompompurin 在一家上诉法院认定原判过轻后，被重新判处更长的刑期。此举表明，美国法院将 BreachForums 视为一个严肃且具有高影响力的网络犯罪平台，而非仅仅是一个「孩子们交换数据库」的网站。

随后的各版本 BreachForums 都遵循了同样的模式。新的域名和基础设施迅速建立，声称是前序版本的继任者，并由其关联人员控制。社区重新聚集，通常伴随着熟悉的管理人员和泄密者（包括 ShinyHunters 等团体）。然而，执法部门再次查封了基础设施，在前端域名上张贴 FBI 的横幅，并在某些情况下获得了后端数据和用户日志的访问权限。

然而，在 2025 年，有几个里程碑式的事件打破了这一常规模式，且相关活动的发生速度似乎比以往的版本迭代要快得多。

一个 BreachForums 实例宣布关闭，此前其运营者声称执法部门利用了 MyBB（其论坛软件）的一个 0day 漏洞获取了访问权限。无论这是事实还是借口，结果都是一样的：又一个论坛倒下，更多用户四散。与此同时，另一个冠以 BreachForums 品牌的域名显示了 FBI 的扣押公告，这凸显了执法部门对该品牌的追踪力度与其对基础设施的打击不相上下。

是蜜罐还是大本营？

每一个新出现的 BreachForums 复刻版都面临着同样的困境：如果是真的，它就是首要打击目标；如果不是真的，它可能是一个蜜罐或卧底行动。这在社区内部造成了深刻的信任危机。

因此，尽管 BreachForums 总是以某种形式卷土重来，但每一次迭代都比上一次更加多疑、更加支离破碎，且更难获得信任。正因如此，与 XSS 论坛的情况类似，我们看到社区开始寻求其他站点作为避难所，以逃避执法行动并规避对「蜜罐」的恐惧。在 2025 年，一个明显的领先者是 Dark Forums（尽管我不看好 darkforums，垃圾数据太多了）。然而，该站点也已经经历了管理层变动以及导致停机的技术问题，并更换了域名。

超越 Tor：平台打击与影子市场

虽然基于 Tor 的市场和论坛占据了新闻头条，但 2025 年也凸显了另一个阵地：建立在主流平台上的影子市场。「独眼情报」将这些站点称为「暗网影子空间」，因为它们被同样的参与者用于非法活动，但实际上并不存在于暗网技术之上。

一个显著的例子是对 Telegram 上与地下生态系统相关的频道进行的打击。在 2024 年底 Telegram 首席执行官被捕后，该平台开始加强对应用程序的审核，积极封禁和暂停其声称违反服务条款的频道。这一行动不仅针对 Telegram 上的市场，而且范围广泛。

这些禁令对 Telegram 的市场端产生了影响，特别是通过频道和机器人运营的欺诈服务、洗钱以及非法金融服务。

Telegram 的执法行动——包括大规模封禁和账号清理——扰乱了分析师所描述的价值数十亿美元的非法经济。

这说明了一个更广泛的趋势——犯罪是不分平台的。当 Tor 市场不稳定时，参与者会转移到加密即时通讯应用（Telegram、Signal、Tox、Session、Matrix）、私密 Discord 服务器、小众论坛、仅限邀请的小组，甚至普通明网网站。随着 TOR 变得愈发不稳定且更容易受到执法行动的干扰，许多参与者更倾向于采用更简单的方式来建立业务。

对于网络安全分析师而言，如果仅关注 .onion 网站，可能会错过「常规」平台上发生的大量活动。

暗网依然重要吗？

考虑到所有的取缔行动和诈骗活动，暗网的规模实际上是在缩小吗？

简短的回答是否定的，事实并非如此。暗网上仍存在大量的犯罪活动，追踪和监控这些活动对于保护个人及组织安全、打击犯罪至关重要。然而，我们也必须承认，暗网正变得更加碎片化、更不稳定，且更难以信任，因此也更难以追踪。

2025 年一些关键趋势：

生命周期缩短

像 XSS 这样长寿的巨头正在被移除或瓦解。新的市场和论坛：

• 快速启动
• 达到临界规模
• 一旦感觉风险过高，要么被查封，要么卷款跑路

这种持续的动荡使得运营大规模、长期的犯罪基础设施变得更加困难。

退出骗局已被「计入成本」

卖家和买家越来越倾向于认为每个市场最终都会消亡。这意味着他们：

• 在市场钱包中保留的余额越来越少。
• 将活动分散到多个平台。
• 更加依赖带外通信（例如通过 Telegram 直接联系）以及在不同站点间流传的声誉。

退出骗局虽然令人痛心，但已不再令人感到意外。

论坛至关重要——且充满危险

像 XSS 和 BreachForums 这样的论坛在以下方面发挥了关键作用：

• 发布新市场
• 仲裁纠纷
• 建立信任与声誉

但这使得它们以及类似的网站成为了以下行动的首要目标：

• 查封与渗透
• 卧底行动
• 针对活跃及潜在犯罪者的情报收集

到 2025 年，许多参与者将高知名度论坛视为必要但充满风险的场所。

调查人员正在博弈长线

XSS 论坛的关停和 BreachForums 的判决提醒人们，调查往往在公开之前就已经持续了数年。随着法院和检察官重新评估数字犯罪的严重程度，判决可能会被重新审视并变得更加严厉。此外，执法机构对加密货币追踪、渗透以及复杂的国际联合行动也变得越来越得心应手。

地下世界可以迅速适应变化，但调查人员也在不断学习和迭代。

对调查人员、研究人员的启示

如果您出于安全、研究或政策目的关注这一领域，2025 年提供了一些明确的启示：

1. 关注攻击者、基础设施和资金，而不仅仅是网站

像「XSS」、「BreachForums」这样的名称更迭不断。但持久存在的是在这些站点上活跃的行动者，他们通常在多个站点开展活动，因此追踪他们如何以及是否继续运作，以及他们在哪些网络中活动至关重要。实现这一目标的一种方法是追踪资金流向，监控共享的任何钱包地址以及这些交易在区块链上的运作方式。此外，通过监控其他站点及相邻站点的行动者言论，以及识别基础设施模式（如托管选择和所使用的工具），也可以识别出新兴的站点。

2. 将每一次重大查封视为情报事件

执法取缔对调查人员而言具有双重影响：一方面，一个情报来源被移除了。有时我们会失去对某些站点的访问权限，而我们原本拥有良好的权限并能获取大量有助于调查的信息。此外，这些站点的用户往往会四处散去，这便成了一场竞赛，我们需要争分夺秒地寻找下一个站点，以及我们最感兴趣的行动者转移到了何处。

另一方面，非法活动被挫败是一件好事，这通常会促成逮捕行动并没收基础设施，从而减少此类活动。虽然我们有时不得不仓促应对以维持监管，但攻击者也必须仓促寻找新巢穴，这会大大降低他们的效率；此外，他们还会担心自己已被执法部门盯上，从而可能完全威慑其不再从事此类活动。此外，新解封的起诉书可以揭示其行动安全方面的失误和手段，从而为未来的调查提供帮助；没收公告和基础设施详情可以充实你的检测系统；你还可以针对与被查封论坛和市场相关的攻击者更新风险评估。

3. 了解「跑路」风险如何塑造行为

随着退出骗局变得愈发普遍，违规者往往倾向于转向规模更小、更侧重「社区属性」的市场。更多的交易转移到了半封闭空间，例如仅限邀请的 Telegram 频道；一些参与者可能会尝试使用更稳健的托管、多重签名和信誉机制——但信任依然脆弱。这意味着渗透和追踪正在发生的活动变得更加困难，从而对从卧底行动到情报收集的所有环节产生深远影响。

4. 关注 Tor 之外的领域

严重的非法交易通常混合使用不同的平台，因此对所有这些平台进行监管至关重要，其中可能包括：

• Tor 市场和论坛
• 明网基础设施（CDN、防弹主机、受损服务器）
• 加密通讯平台

如果防御策略仅止于 Tor 网络，将会错过大部分真实的活动。

结论

2025 年并没有「终结」暗网。但它确实加速了多年来显而易见的转型：

• 大型、稳定、中心化的市场和论坛正变得日益难以为继。
• 执法部门在查封基础设施和追踪加密货币方面变得更加得心应手。
• 管理员们关闭平台并卷款潜逃的速度也越来越快。
• 用户变得更加多疑、更加分散，且更倾向于在不同平台间频繁迁移。

对于分析师而言，这既是好消息，也是挑战。混乱局面虽然减缓了部分犯罪活动的运作，但也促使这些活动转向生态系统中更小、更难观察的角落。「独眼情报」可以协助确保您能够监控所有发生非法活动的区域。暗网将继续存在，但它会不断演变，为了降低风险，密切跟踪这些变化至关重要。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 独眼情报 独眼情报《2025 年暗网生态大地震总结》