BreachForums暗网论坛看来是真凉了

💻 BreachForums的兴起、鼎盛与凉凉

• 起源与继承：BreachForums 于 2022 年 3 月由 19 岁的 Conor Brian Fitzpatrick（网名“pompompurin”）创建，作为被执法机关取缔的 RaidForums 的接班平台。

• 性质与内容：它是一个多功能黑客论坛，用户可以出售盗取的数据库、账户、企业入侵工具等，社区成员接近 33.68 万名 。

• 首波打击：2023 年 3 月 15 日，“pompompurin” 被 FBI 捕获，之后 Baphomet 接任并很快关闭论坛，声称网站或已被入侵 。

• 重新上线：Baphomet 与黑客组织 ShinyHunters 合作，于同年遏制关闭后重启 BreachForums。

• 又一次域名被扣押：2024 年 5 月，FBI 分析 Europol 数据泄露后，再次扣押域名和 Telegram 渠道，并逮捕 Baphomet。有少数天后论坛短暂恢复 )。

• IntelBroker 入局：后续管理权移交给“IntelBroker”（一名提供 Europol 数据泄露信息的成员）。不过，该账号所有者被法国警方于 2025 年 2 月逮捕 。

🚔 法国警方大动作：2025 年 6 月最新逮捕行动

• 联合突袭：据报道，2025 年 6 月 24 日，法国巴黎警察局网络犯罪部（BL2C）在 Hauts-de-Seine、诺曼底、留尼汪等地同时展开突袭 。
• 主要嫌疑人被拘：“ShinyHunters”、“Hollow”、“Noct”、“Depressed”等网名成员被捕，年龄在 20～23 岁之间。
• IntelBroker 早已归案：他于 2025 年 2 月被捕，被认定是英国籍凯·韦斯特（Kai West），美国正在申请引渡 。
• 涉及攻击目标：这些嫌疑人与法国多家大型组织数据泄露事件相关，包括 Boulanger、SFR、France Travail、French Football Federation 等 。

IntelBroker糟糕的 opsec

根据他的刑事控诉，执法部门如何将 IntelBroker 与 Kai West 联系起来：

⚙️ 一、技术路径溯源：BTC钱包与金融账户暴露真实身份

起诉书指出，IntelBroker（Kai West）使用的一个比特币钱包地址（BTC Wallet-1）是在一次执法机构卧底行动中被发现的：

• 起因：比特币交易而非Monero交易原本IntelBroker仅接受匿名性极高的Monero加密货币交易，但在2023年1月26日，执法人员（UC-2）成功劝说IntelBroker改为接受比特币付款（$250美元），这是一次致命的错误。

• 区块链分析暴露FBI通过区块链数据分析BTC Wallet-1的交易历史，发现其初始资金来源于另一个钱包（West Wallet-1），这个钱包直接关联到一个名为Ramp的在线金融账户（Ramp Account-1）。

• Ramp账户实名注册Ramp账户以英国临时驾照（UK Provisional Driving License）注册，上面直接显示了Kai Logan West的真实身份及出生日期。

🌐 二、邮箱关联与身份暴露（OPSEC失败）

IntelBroker用于加密货币交易的Ramp账户，以及另一个Coinbase账户，都注册在同一个私人邮箱（West Email Account-1）：

• 个人身份邮件暴露FBI获得搜查令调查West Email Account-1，发现此邮箱内存有大量与Kai West本人相关的邮件，包括：

• 英国大学的住宿和财务部门邮件。
• 个人照片（驾照照片）以及以真实姓名注册的账单。
• 个人身份认证文件（学生证明，网络安全专业的就读证明）。

• 关联到黑客身份的关键邮件与账户交叉使用West Email Account-1与另一个邮箱（Kyle.Northern1337）间互相发送驾照照片邮件，“Kyle Northern”正是IntelBroker的另一个假名。

• 邮件服务与社交媒体IP重叠微软账户（与West Email Account-1关联）和Twitter账户（IntelBroker名义注册）的登录IP地址重叠使用（来自同一VPN服务），进一步暴露其身份。

🚩 三、攻击IP地址交叉分析（直接数字证据）

执法人员调查发现，在2023年1月针对受害者Victim-2的数据入侵中，黑客使用的攻击IP地址（Attack IPs），也同时被West Email Account-1所属的微软账户登录使用过：

• IP地址交集分析Victim-2公司服务器日志显示被非法访问期间（2023年1月6日至1月8日），攻击IP与West个人账户登录IP重合，成为直接的数字证据。

• 入侵技术暴露个人技能偏好此次入侵中，West利用的是被错误配置的服务器软件（Software-1），无需登录凭据即可访问，体现出他偏爱利用易配置错误的互联网公开资源的攻击风格。

📺 四、社交活动与心理侧写（数字行为指纹暴露）

调查人员通过对West Email Account-1的YouTube观看记录与IntelBroker在暗网论坛（Forum-1）发布内容的时间匹配分析，发现：

• 行为同步暴露真实身份Kai West观看某视频后的几分钟内，IntelBroker账户就会在Forum-1论坛发布该视频，体现出明显的行为指纹重合。

• 媒体访谈失误West Email Account-1曾多次查看关于“IntelBroker”本人的采访视频（含匿名视频），反映出心理需求和对个人形象的关注。这种个人兴趣痕迹让执法机关确认了幕后真实人身份。

🔗 五、社交论坛上的失误（OPSEC失误的根源）

在暗网论坛上，IntelBroker不仅出售数据，更主动展现自己作为论坛所有者和黑客团队领导人的身份（CyberN[-----]）：

• 过度活跃造成的曝光风险大量主动发布和售卖入侵数据的帖子（超过335个主题贴与2126个回复贴），频繁接触论坛用户，增加了被卧底或网络调查人员注意的风险。

• 公开招募与成员信息交叉暴露多次公开招募团队成员，暴露自身作为团队领导人身份。团队成员的更迭也给执法机关提供了丰富的社会图谱数据用于进一步追踪。

🗃️ 六、综合技术调查路径（最终暴露路径）

最终IntelBroker身份暴露是一个典型的执法人员利用数字取证（Digital Forensics）、开源情报（OSINT）和社交工程（Social Engineering）协同工作的结果：

1. 比特币钱包与真实身份的金融账户的关联（Ramp账户）
2. 个人邮箱内真实身份信息（大学邮件、真实姓名、驾照）
3. 攻击活动IP地址与个人邮件账户登录的重叠（直接数字证据）
4. 个人心理行为侧写（观看视频、发布论坛消息的同步性）
5. 过度曝光在社交与论坛上的主动身份管理

🚨 结论与OPSEC启示

IntelBroker案件完整展现了一名网络罪犯如何在长期运营中逐渐暴露真实身份的详细过程，尤其提醒安全分析人员：

• 避免跨平台身份重合（邮件、社交媒体、论坛账户等）。
• 绝对避免使用弱匿名货币（如比特币）进行敏感交易，严格隔离加密货币资金链。
• 限制公开曝光和个人特征透露，防止执法人员心理和行为分析。
• 严控VPN、代理服务IP地址暴露风险。

IntelBroker的失败，在于他过于自信地低估了执法机关跨平台分析的能力和数字取证技术的进步，从而最终被定位并抓获。这是一次典型的“多重OPSEC失败”导致的网络犯罪案件。

InterBroker的机翻起诉书已上传 github https://github.com/mayfly42/ThreatReport/blob/main/u.s._v._west_complaint_translated.pdf.

🛡 暗网战疫仍在继续

BreachForums 的历程是一场典型的暗网－执法博弈，从 Raid → BreachForums → 多次关闭和重启，再到最新被法国警方围剿，映射出网络犯罪生态的复杂与执法部门跨国协作的深度。 短期内，该平台造成的数据泄露仍然具有“破窗效应”与高威胁，未来重点是全面追踪其基础设施、幕后资金来源与运营者。若你是安全分析师，建议监控 Telegram 通道、域名变动、论坛镜像的动态，快速定位侵入事件元凶。