BreachForums又又又出现了，是否是警方搭建的蜜罐

网络犯罪分子、执法人员和研究人员都熟知的臭名昭著的BreachForums论坛最近又再次回归，在暗网与明网可以同时访问。

一些之前在论坛注册的用户最近收到了邮件，声称BreachForums已经重新开放并恢复了所有功能。邮件中断言内部技术问题已经解决，所有账户、帖子和内容现在都可以正常访问。

而与上次使用泰国、赞比亚等多国警方的被盗gov邮箱发送推广邮件相似，这次的发件人的电子邮件地址是：[email protected]。interieur.gouv.fr域名属于法国内政部。也就是说，从法国政府官方域名发送的电子邮件告诉黑客，BreachForums 已恢复上线，并邀请他们注册发帖。

于是所有人都怀疑这是一次来自执法机构的网络钓鱼攻击——更准确地说，是一个引诱网络犯罪分子的蜜罐，使用之前公开泄露的BreachForums备份搭建的。

研究人员纷纷表示，暗网市场的所谓“复活”首先应持怀疑态度，这个伪装成BreachForums重启的网站是利用法国内政部域名发送通知邮件的诱饵陷阱，用户的访问记录及帖文内容极可能被用作执法证据。

然而，新成立的BreachForums论坛的运营者Indra声称，新BreachForums并非蜜罐，他们只是使用入侵获取的法国内政部邮箱发送推广邮件。

Indra宣称对此次针对法国内政部的网络攻击负责，他在声明中吹嘘，他们已获取了两个数据库的信息：TAJ（司法记录处理系统）和PFR（通缉犯档案）以及电子邮件。据报道，此次数据泄露事件影响了约1600万人。

截至目前，Indra称其仍可访问法国内政部的CHEOPS门户系统。研究人员认为黑客看起来正在使用法国内政部的Roundcube邮件系统发送电子邮件。

新BreachForums论坛管理员Indra的声明

管理员Indra于12 月13日在Breachforums发布一篇新的公告声明，对“蜜罐”事件及其他相关报道造成的误解深表歉意，对社区关注的事情进行了解释，并直接指责法国当局，提到了去年夏天在法国发生的逮捕事件。

管理员Indra在帖子中称，BreachForums”最初是“ShinyHunters/hollow”以及他们之前的另一个组织的项目。他们的整个组织（hollow、shiny等等）都被逮捕了。只有一个人拥有最初的“ShinyHunters PGP”密钥，而这个人是其朋友，但是他们之间产生了矛盾。因此，“诱饵”、“蜜罐”信息是假的，只是想关闭BreachForums，所以其就照做了。

Indra表示，在关闭网站并于15天内所有域名被查封后，相信大家都认为他们是FBI探员之类的。但显然们不是，他们会向BreachForums社区证明这一点。Indra宣布，为了报复被捕的朋友，他们已成功攻陷“MININT”——法国内政部。

Indra称，正如法国新闻报道的那样，法国内政部只承认政府私人电子邮件服务器被非法访问。但他们们绝口不提从警方档案中获取的16,444,373名个人的数据？

Indra问道，你们知道“TAJ”（Traitement d’Antécédents Judiciaires——犯罪记录处理系统）吗？ “FPR”（Fichier des Personnes Recherchées——通缉犯数据库）呢？还有更多。国际刑警组织呢？你们是不是试图向他们隐瞒我们入侵“EASF MI”系统的事实？此外，你们为什么不向法国人民和全世界说明那两周究竟发生了什么？公共财政部门（ DGFIP）呢？为什么只字未提？养老金部门（ CNAV）呢？

Indra继续讽刺，如果一个政府连自己都保护不了，想想看，如果恐怖分子获取了所有这些数据，会发生什么？

Indra表示，为了向BreachForums社区证明其并非联邦调查局或警方特工，其给法国一周时间建立联系：[email protected]，以协商如何处理泄露的文件。法国当局拖延的时间越长，泄露的数据就越多。

Indra称现在只有两个选择：要么购买数据，购买完成后，将删除获取的所有政府数据；要么向BreachForums社区出售数据，以证明其不是执法人员。并提供了返回1600万条数据结果及部分样本的截图。

法国内政部称攻击者并未掌握1600万条数据记录

随后，法国内政部承认发生了一起有限的入侵事件，称其电子邮件服务器遭到“可疑活动”，但除此之外未透露更多信息。最近，内政部澄清道 ：“迄今为止，分析显示，包含登录凭证的专业电子邮件账户遭到入侵，这些凭证的获取使得攻击者能够访问业务应用程序。”

新BreachForums论坛的运营者声称他们使用了内政部的电子邮件系统发送了一封邮件，宣布恢复他们的活动。然而，这最终被证实是一起身份盗窃案件。

然而，他们最近声称已经“数周”仔细浏览了执法机构的Cheops门户网站，并秘密提取了数据。这可能与前文提到的“商业应用”相符。但令人惊讶的是，在最初声称数日后，他们仍然没有提供任何样本来佐证自己的说法。他们谴责数据库中存在1600万人的信息，声称自己已访问该数据而非窃取数据。

内政部已经发表声明，表示已加强网络安全措施，包括对所有员工启用多因素身份验证，并重申了基本安全规则。反网络犯罪办公室（OFAC）已受理此案，法国国家网络安全局（ANSSI）也为保护和补救工作提供了支持。

新Breachforums暂停访问的原因

目前新Breachforums论坛可以在明网访问，但处于关闭维护状态。页面显示的内容为：我们正在进行计划内维护以提升您的使用体验。感谢您的理解与耐心！（We are currently undergoing scheduled maintenance to improve your experience. Thank you for your understanding and patience! ）

新Breachforums的管理员发布了带有PGP签名的最新公告，解释了暂停访问的原因，他称由于持续的技术问题和大规模DDoS攻击，他们不得不保持论坛维护状态以进行必要调整。但这些问题不会阻碍其前进，服务预计将在24至48小时内恢复。

公告再次解释了事件始末如下：

数周以来，我们持续渗透其CHEOPS门户系统（https://http://2.police.fr），成功入侵法国国家警察（https://i…mi）及国家宪兵队（TD）多名调查人员的邮箱账户。

我们从每个平台悄然提取数据，直至他们最终发现内部网络遭入侵才停止行动——但为时已晚。

若揭露此次入侵事件的全貌——其影响波及罪犯与受害者双方——必将震惊法国，并使众多人士陷入严重危机。

具体公告原文如下：

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256

Hello everyone,

We apologize for the recent instability. Due to ongoing technical issues and massive DDoS attacks, we’ve had to keep the forum in maintenance to make necessary adjustments.

These problems won’t stop us.

Service should be back up within 24 to 48 hours.

Regarding our ultimatum to the French Minister of the Interior – for any negotiations, use our new email: [email protected]

If we don’t get a response, we’ll proceed with one of two options:

1 – Selling the data to other agencies or cybercriminal groups.

2 – A full public leak. The impact would be unlike anything France has seen before, bigger than anything we’ve ever released on BreachForums.

We’ll share the exact consequences afterward.

Here’s what happened:

For several weeks, we meticulously examined their CHEOPS portal (https://http://2.police.fr) and accessed the email accounts of numerous investigators from the Police Nationale ( https://i...mi ) and Gendarmerie Nationale ( TD ).

We discreetly extracted data from each platform, and we only stopped when they finally discovered the intrusion into their intranet – but by then it was too late.

The truth we could reveal about the full scope of this breach – affecting both criminals and victims – would shock France and seriously compromise many people.

N/A
—–BEGIN PGP SIGNATURE—–
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=9P4/
—–END PGP SIGNATURE—–

BreachForums发布的明网与暗网地址如下：

明网地址：breachforums[.]bf

暗网地址：http://breachedmw4otc2lhx7nqe4wyxfhpvy32ooz26opvqkmmrbg73c7ooad[.]onion

研究人员透露的该黑客组织内部的紧张局势

境外研究人员称，至少有两个团体似乎正在幕后交战：一方自称是闪光猎人（ShinyHunters），另一方则是散落的拉普斯猎人（Scattered Lapsus$ Hunters，简称SLSH）。而且他们之间并非陌生人。

前者包括HasanBroker和Pryx，以及其他一些不太知名的黑客，例如Kizaru和Kuroi。后者则包括Rey，一位名叫Saif Al-Din Khader的约旦少年。

值得一提的是，Pryx和Rey曾与知名的IntelBroker一起，在勒索软件团伙HellCat旗下共事过一段时间。据报道，IntelBroker于2025年2月在法国被捕。此后，该团伙内部出现矛盾，导致Rey和另一名成员Miyako相继离队。

ShinyHunters对周末发生的事件措手不及，HasanBroker私下表示：“breachforums.bf不属于我。” 随后，该组织公开声明他们与“这一虚假指控”无关，并指责SLSH是幕后黑手。

值得注意的是，HasanBroker和Pryx等人已经努力重启他们自己的BreachForums论坛好几周了……但SLSH组织的Telegram频道上却只字未提入侵内政部系统一事，也没有任何截图。与此同时，Pryx之前X账号的现任所有者忍不住发表了一番挑衅性言论：“顺便说一句，你并不拥有 [BreachForums]。”

似乎这还不够，历史悠久的ShinyHunters频道​​和“新”ShinyHunters 频道​​之间也存在着紧张关系……因此，对于Shiny（老ShinyHunters频道​​的领导者）来说，HasanBroker、Pryx、Kizaru和Kuroi……“正是那些试图接管整个 ShinyHunters 圈子的人”。

在ShinyHunters论坛上，Pryx使用法语交流，并自称是突尼斯人。Kizaru似乎是法国人，IntelLite和Jinx也都使用法语。我们查阅到的其他成员的聊天记录也证实了这一点：“我们这里都是法国人。”