crimsonvector/BPH_Research

# BPH 研究仓库 ## 概述 本仓库是一个综合性情报资源库，用于追踪防弹主机托管提供商、威胁活动推动者以及支撑现代网络犯罪的基础设施。它结合了结构化的提供商数据库、分析文件、调查手册和组织有序的来源库。 **当前范围：** 追踪 BPH 生态系统中的 50 多个提供商/实体，包括受制裁运营商、上游推动者、金融促进者、空壳公司和制裁规避载体。 ## 仓库结构 ``` BPH_Research/ | |-- README.md <-- You are here |-- BPH_Master.csv <-- Master provider database (flat CSV, 25+ columns) |-- BPH_Master.xlsx <-- Formatted multi-sheet Excel workbook | |-- taxonomy/ | |-- BPH_TAXONOMY.md <-- Classification framework (risk tiers, provider types, | operational patterns, identification signals) | |-- analysis/ | |-- ECOSYSTEM_MAP.md <-- Relationship mapping, geographic clusters, corporate | | networks, upstream dependencies, financial overlay | |-- TIMELINE.md <-- Sanctions & enforcement chronology (reverse-chrono) | |-- playbook/ | |-- ANALYST_PLAYBOOK.md <-- Investigation guide: identification indicators, OSINT | pivoting, tools/sources, workflows, templates | |-- sources/ | |-- SOURCE_INDEX.md <-- Catalog of all sources with metadata and grade | |-- LICENSE <-- MIT License ``` ## 快速入门 ### 针对威胁分析师 1. 首先从 **`BPH_Master.csv`** 入手，查找特定提供商、ASN 或别名 2. 使用 **`taxonomy/BPH_TAXONOMY.md`** 了解风险等级定义和分类标准 3. 参考 **`playbook/ANALYST_PLAYBOOK.md`** 了解调查工作流程和开源情报分析技巧 ### 针对了解生态系统 1. 阅读 **`analysis/ECOSYSTEM_MAP.md`** 获取全局概览：谁与谁相连、地理集群、空壳公司网络 2. 审阅 **`analysis/TIMELINE.md`** 了解制裁、取缔和规避行动的时间线 ### 针对添加新情报 1. 在 **`sources/SOURCE_INDEX.md`** 中添加条目，包含完整元数据和来源等级 2. 使用 **`playbook/ANALYST_PLAYBOOK.md`** 第 5 节的评估模板来评估新提供商 3. 将提供商添加到 **`BPH_Master.csv`**，并填写所有适用字段 4. 根据需要更新相关的分析文件 ## 主数据库模式 该 CSV 使用 25 列。关键字段如下： | 列 | 描述 | | -------------------- | -------------------------------------------------------------------- | | `provider_name` | 主要名称 | | `status` | 活跃 / 已标记 / 可疑 / 已制裁 / 规避中 / 已解散 / 已查封 | | `risk_tier` | 从 T1-确认的 BPH 到 T5-关注名单 (详见分类法) | | `primary_asn` | 主要自治系统编号 | | `sanctions_designations` | OFAC / EU / UK / AU 制裁指定及日期 | | `associated_threat_actors` | 已托管的 APT 组织、勒索软件品牌 | | `associated_malware` | 观测到的具体恶意软件家族 | | `rf_threat_density_score` | Recorded Future 威胁密度评分 (如可用) | | `sources` | 引用 SOURCE_INDEX.md 的来源 ID | 完整模式记录在 CSV 头行中。 ## 关键情报亮点 ### 受制裁实体 (截至 2026 年 5 月) - **Aeza International Ltd** — OFAC/UK 2025 年 7 月 + 2025 年 11 月扩大 - **Stark Industries Solutions** — EU 2025 年 5 月 (第 17 轮对俄制裁方案) - **Zservers / XHOST** — US/UK/AU 三方 2025 年 2 月 - **Media Land LLC** — OFAC/UK/AU 三方 2025 年 11 月 - **FUNNULL Technology** — OFAC 2025 年 5 月 - **Garantex** — OFAC 2022 年 4 月 + EU 2026 年 2 月 (通过 Grinex/Exved 规避) - **WorkTitans B.V. / THE.Hosting** — EU 通过 Stark/Neculiti 指定制裁 - **PQ Hosting Plus S.R.L.** — EU 通过 Stark/Neculiti 指定制裁 - **Hypercore LTD** — OFAC/UK 2025 年 11 月 (Aeza 的前台公司) ### 关键基础设施节点 - **aurologic GmbH (AS30823)** — 欧洲 10 多个 BPH 下游运营的核心上游。干扰 aurologic 将会波及 Femo IT、Railnet/Virtualine、metaspinner、Tnsecurity、WAIcore、Altawk、Karina Rashkovska、KPROHOST、SWISSNETWORK02，并可能影响 Aeza 的传输。 ### 近期执法行动 - **CrazyRDP 被查封** 2025 年 11 月 (荷兰警方"终结行动"，250 台服务器) - **Cryptomixer.io 被查封** 2025 年 11 月 (自 2016 年起混合 13 亿欧元比特币) - **"终结行动"** 于 2025 年 11 月针对信息窃取软件 (全球 1025 台服务器) ## 分类系统 提供商使用 5 级风险体系和 6 种提供商类型进行分类。完整定义见 `taxonomy/BPH_TAXONOMY.md`。 **风险等级：** T1 (确认的 BPH) > T2 (高风险) > T3 (可疑) > T4 (灰色地带) > T5 (关注名单) **提供商类型：** 纯 BPH | BPH 相邻 | 上游推动者 | 金融推动者 | 空壳公司 | 制裁规避载体 ## 来源评级 所有来源均根据可靠性进行评级： | 等级 | 描述 | | ---- | ---------------------------------------- | | A | 政府/官方 (制裁、执法部门新闻稿) | | B | 知名的 CTI 供应商 (Recorded Future, Mandiant 等) | | C | 社区/独立 (Krebs, abuse.ch, Spamhaus) | | D | 单一来源 / 未经验证 | | E | 自我报告 / 营销宣传 | 完整目录见 `sources/SOURCE_INDEX.md`。 ## 贡献 要向本仓库添加新情报： 1. **新提供商：** 使用手册中的评估模板，添加到 CSV，记录来源 2. **新来源：** 添加到 `sources/SOURCE_INDEX.md`，包含元数据和等级，并在 CSV 中交叉引用 3. **状态变更：** 更新 CSV 中的状态/等级，添加时间线条目，如果关系发生变化则更新生态系统图 4. **制裁更新：** 添加到时间线，更新 CSV 的 `sanctions_designations` 字段，检查是否存在规避载体 *本仓库维护用于授权的网络犯罪研究和防御性安全目的。*

标签：ESC4, OSINT, 主数据库, 代码示例, 分析师手册, 分类法, 制裁执法, 制裁规避, 基础设施追踪, 威胁 actor enabling, 威胁分析, 威胁情报分析, 威胁活动推动者, 情报研究, 执法时间线, 数据分析, 数据库管理, 犯罪基础设施, 生态系统映射, 网络威胁情报, 网络安全, 网络犯罪, 自动化侦查工具, 调查指南, 防弹主机, 防弹主机提供商, 防御加固, 隐私保护