phishdestroy/trustname-evidence

GitHub: phishdestroy/trustname-evidence

针对特定 ICANN 注册商的全量域名恶意滥用调查证据包，提供完整的 IOC 数据和 STIX 格式威胁情报以供防御与分析使用。

Stars: 37 | Forks: 0

# Trustname.com / Fewmoretaps OÜ ### 注册商区域证据 — 第二阶段
[![IANA #4318](https://img.shields.io/badge/IANA-%234318-6ea8d7?style=for-the-badge&labelColor=0c1018&logo=internetcomputer&logoColor=white)](https://www.iana.org/assignments/registrar-ids/registrar-ids.xhtml) [![TLP CLEAR](https://img.shields.io/badge/TLP-CLEAR-3fb950?style=for-the-badge&labelColor=0c1018)](https://www.first.org/tlp/) [![MIT](https://img.shields.io/badge/license-MIT-c0a060?style=for-the-badge&labelColor=0c1018)](LICENSE)
[![实时报告](https://img.shields.io/badge/▶_LIVE_REPORT-phishdestroy.github.io%2Ftrustname--evidence-3fb950?style=for-the-badge&labelColor=0c1018)](https://phishdestroy.github.io/trustname-evidence) [![第一阶段文章](https://img.shields.io/badge/📰_PHASE_I-Bulletproof_Exposed-6ea8d7?style=for-the-badge&labelColor=0c1018)](https://phishdestroy.io/trustname-bulletproof-exposed/)

📦 追踪域名数
_9,343 💰 预估收入
_$78,619 📡 已部署
_66.1% ✅ 确认钓鱼
_{36.5% (3,413)} ⚡ 新增 (≤7d)
_8.1% 🕵️ 连续注册者
₃

### 🏷️ 热门顶级域区域 | 顶级域 (TLD) | 数量 | 平均注册周期 | 预估收入 | |:--|--:|--:|--:| | `.com` | 7,387 | 418d | $66,409 | | `.icu` | 594 | 365d | $588 | | `.net` | 428 | 435d | $4,276 | | `.org` | 366 | 510d | $3,656 | | `.app` | 80 | 365d | $1,120 | | `.pro` | 54 | 425d | $431 | | `.cam` | 50 | 365d | $250 | | `.cyou` | 50 | 365d | $50 | | `.info` | 34 | 483d | $136 | | `.xyz` | 33 | 398d | $49 | ### 🌍 热门托管国家 ``` US ██████████████████ 493 (32.2%) RU █████░░░░░░░░░░░░░ 152 (9.9%) GB ████░░░░░░░░░░░░░░ 130 (8.5%) DE ████░░░░░░░░░░░░░░ 117 (7.6%) NL ███░░░░░░░░░░░░░░░ 97 (6.3%) CA ███░░░░░░░░░░░░░░░ 86 (5.6%) BZ ██░░░░░░░░░░░░░░░░ 72 (4.7%) UA ██░░░░░░░░░░░░░░░░ 63 (4.1%) ``` ### 📈 注册爆发日 | 日期 | 域名数量 | × 平均值 | |:--|--:|--:| | `2026-06-15` | 232 | **11.4×** 🚨 | | `2026-06-08` | 202 | **9.9×** 🚨 | | `2026-06-17` | 202 | **9.9×** 🚨 | | `2026-06-10` | 191 | **9.4×** 🚨 | | `2026-06-04` | 169 | **8.3×** 🚨 | ### 🎯 被针对的热门品牌与关键词 `login (43)` · `binance (35)` · `ledger (31)` · `trust (29)` · `secure (29)` · `support (28)` · `official (27)` · `crypto (23)` · `vault (22)` · `coinbase (21)` · `connect (21)` · `wallet (17)` · `verify (16)` · `bridge (13)` · `swap (12)` ### 🕵️ 热门连续注册者 — 5 个拥有 ≥5 个域名的邮箱 | # | 注册者邮箱 (已脱敏) | 域名数量 | |--:|:--|--:| | 1 | `m***@unternehmen.de` | **23** | | 2 | `sup***@mxl.zendesk.com` | **18** | | 3 | `sup***@stake.com` | **12** | | 4 | `hel***@wingstop.com` | **7** | | 5 | `s***@email.com` | **5** | ### 📥 下载威胁情报 | 文件 | 格式 | 描述 | |:--|:--:|:--| | [`data/all.txt`](data/all.txt) | TXT | 所有追踪的域名 | | [`data/index.json`](data/index.json) | JSON | 完整的分析快照 | | [`data/ioc/serial_registrants.json`](data/ioc/serial_registrants.json) | JSON | 重复注册者及其域名 | | [`data/ioc/shared_ips.json`](data/ioc/shared_ips.json) | JSON | 防弹托管集群 | | [`data/ioc/brand_domains.json`](data/ioc/brand_domains.json) | JSON | 按被针对品牌划分的域名 | | [`data/ioc/stix-bundle.json`](data/ioc/stix-bundle.json) | STIX 2.1 | 适配 MISP/OpenCTI 的 bundle | | [`data/ioc/serial_emails.txt`](data/ioc/serial_emails.txt) | TXT | 便于 grep：`email⇥count` | | [`data/ioc/shared_ips.txt`](data/ioc/shared_ips.txt) | TXT | 便于 grep：`ip⇥count⇥country` | ## 📑 目录

**调查** - [1 · 背景](#1--background) - [2 · 调查对象](#2--subject) - [3 · 范围与覆盖](#3--scope-and-coverage) - [4 · 方法论](#4--methodology)

**证据** - [5 · 核心发现](#-headline-findings) - [6 · 运营者集群](#-operator-clusters) - [7 · 证据归档](#-evidence-archive) - [8 · 典型已确认案例](#-notable-confirmed-cases)

**法律 / 复用** - [9 · 执法态势](#-enforcement-posture) - [10 · 存储库结构](#-repository-structure) - [11 · 镜像](#-mirrors-and-long-term-access) - [12 · 引用与许可](#-citation)

## 1 · 背景本存储库是 PhishDestroy 针对 **Trustname.com / Fewmoretaps OÜ** (IANA 注册商 ID **#4318**) 调查的**第二阶段证据包**。 **第二阶段 —— 即本存储库 —— 通过枚举注册商区域内的每个域名来量化其滥用足迹。** 我们没有进行抽样，而是通过四阶段技术 pipeline 处理每个域名： ``` ╭────────────────────╮ ╭────────────────────╮ ╭────────────────────╮ ╭────────────────────╮ │ 1. AWS Lambda │ ───▶ │ 2. Headless │ ───▶ │ 3. CF Deep Scan │ ───▶ │ 4. AI │ │ HTTP fingerprint │ │ Browser render │ │ + 2captcha │ │ classification │ │ 80 conc / inv. │ │ Playwright │ │ SOCKS5 pool │ │ Llama 3.1 │ ╰────────────────────╯ ╰────────────────────╯ ╰────────────────────╯ ╰────────────────────╯ 7,641 7,641 2,182 2,434 domains domains protected targets classified ``` **用一句话概括第二阶段：** 在该注册商下实际提供内容的 2,583 个域名中，**有 2,221 个 (86 %) 被确认是恶意的** —— 包括钓鱼、信用卡欺诈、crypto drainer、恶意软件分发、非法毒品销售以及无证赌博。其余 5,058 个域名已失效或被停放。完整的单域名数据集、截图以及运营者集群分析均保存在本存储库中。

## 2 · 调查对象 | 字段 | 值 | |---|---| | 🏢 法律实体 | **Fewmoretaps OÜ** | | 🌐 对外名称 (DBA) | Trustname.com | | 🆔 ICANN / IANA ID | **#4318** | | 🇪🇪 司法管辖区 | 爱沙尼亚 (欧盟) | *运营者身份、企业注册详情以及财务概况已在第一阶段说明：* [phishdestroy.io/trustname-bulletproof-exposed](https://phishdestroy.io/trustname-bulletproof-exposed/)

## 3 · 范围与覆盖

参数	值
📆 扫描窗口	2026 年 6 月
📊 范围内域名	7,641 — 该注册商管理下的所有域名
🎯 抽样	无 — 完整的区域枚举
🌐 网络覆盖	对每个域名进行完整的 HTTP + 无头浏览器扫描
☁ 受 Cloudflare 保护	在丰富化数据集中识别出 2,072 个域名
🧩 第 3 阶段重扫目标	通过 proxy + 2captcha 重新扫描 2,182 个被阻止/受质询的域名
🧩 解决的 CAPTCHA	92 (hCaptcha · reCAPTCHA v2/v3 · Cloudflare Turnstile)
📷 捕获的截图	1,953
🤖 AI 分类内容	2,434 个域名
🛡 威胁情报源	Spamhaus DBL · SURBL · URLhaus · ThreatFox

## 4 · 方法论

🔍 第 1 阶段 — HTTP 指纹 (AWS Lambda)

| | | |---|---| | **Runtime** | Python 3.11 + `aiohttp`，部署于 AWS Lambda | | **并发** | 80 个请求 / 调用 × 77 个并行调用 | | **User-Agent** | Googlebot (绕过 Cloaking) | | **`favicon_mmh3`** | `/favicon.ico` 的 MurmurHash3 32-bit — 兼容 Shodan | | **`server_fp`** | `server ‖ content-type ‖ x-powered-by` 的 SHA-256 | | **`simhash`** | 用于近似重复检测的 64-bit body SimHash |

🖥 第 2 阶段 — 浏览器渲染 (Playwright)

| | | |---|---| | **Runtime** | Playwright 1.40 + `playwright-stealth v2`，无头 Chromium | | **隔离** | 每个域名使用新的浏览器上下文 (防止 `TargetClosedError` 级联崩溃) | | **捕获** | 1280 × 800 全页截图，DOM dump，表单字段清单 | **表单字段语义标记：** `seed_phrase` · `private_key` · `wallet_addr` · `card_number` · `cvv` · `iban` · `sort_code` · `routing_number` · `password` · `otp_2fa` · `recovery_email` · `ssn` · `passport_number` · `dob`

☁ 第 3 阶段 — Cloudflare 深度扫描

| | | |---|---| | **范围** | 在第 2 阶段返回 HTTP 403/503 的 2,182 个域名 | | **代理池** | 2,600+ 轮换 SOCKS5 出口节点 | | **CAPTCHA** | 2captcha API — hCaptcha · reCAPTCHA v2/v3 · Cloudflare Turnstile | | **结果** | 解决了 92 个 CAPTCHA · **1,953 张最终截图** |

🤖 第 4 阶段 — AI 分类

| | | |---|---| | **模型** | 通过 Groq API 调用的 `llama-3.1-8b-instant` | | **输入** | `(title, h1, meta_desc, body_text[:2000], form_labels)` | | **输出** | 自然语言描述 + 类别枚举 + 严重性评分 | | **DNSBL** | Spamhaus DBL · SURBL | | **REST** | URLhaus · ThreatFox (Abuse.ch) |

## 📊 核心发现

| 指标 | 值 | |---|---:| | 🧮 **扫描域名总数** | **7,641** | | 💀 失效 / 停放 / 错误 | 5,058 (66.2 %) | | 💚 活跃且有内容 | 2,583 (33.8 %) | | **高严重性 (HIGH)** | **1,114** | | 🟠 **中严重性 (MEDIUM)** | **1,107** | | ⚠ **恶意总数 (HIGH + MEDIUM)** | **2,221** | | 🚨 **活跃内容中的恶意占比** | **86.0 %** | | ☁ 位于 Cloudflare 之后 | 2,072 | | 📷 捕获的截图 | 1,953 | | 🧩 绕过的 CAPTCHA | 92 |

### 类别细分 | | 类别 | 数量 | 严重性 | 描述 | |---|---|---:|:---:|---| | 🎰 | `GAMBLING` | 733 | 🟠 中 | 无证赌场/博彩；土耳其语 *bahis* 集群 | | 🎣 | `PHISHING_GENERIC` | 396 | 🔴 高 | 凭证窃取 (登录、OTP、密码) | | 🏦 | `PHISHING_FINANCE` | 236 | 🔴 高 | 银行/信用卡/CVV 窃取 | | 💳 | `CARDING` | 182 | 🔴 高 | 克隆卡商店、Dump 市场、资金骡子 | | 🪙 | `PHISHING_CRYPTO` | 178 | 🔴 高 | 钱包/交易所钓鱼 (Ledger, Solflare, Pump.fun) | | 🎭 | `CRYPTO_SCAM` | 146 | 🔴 高 | 假投资平台、“Elon Musk”赌场 | | ☣ | `MALWARE_DIST` | 105 | 🔴 高 | RAT 商店、破解软件、虚假固件更新程序 | | ™ | `BRAND_ABUSE` | 83 | 🟠 中 | 品牌冒充、域名抢注 | | 🔞 | `ADULT` | 81 | 🟠 中 | 无证成人内容、 escort/cams | | 🚰 | `CRYPTO_DRAIN` | 60 | 🔴 高 | 钱包 Drainer、助记词表单 | | 📨 | `SPAM_INFRA` | 56 | 🟠 中 | 邮件/短信垃圾发送基础设施 | | 🔀 | `PROXY_VPN` | 48 | 🟠 中 | 滥用 proxy / VPN 服务 | | 💊 | `ILLEGAL_DRUGS` | 42 | 🔴 高 | 无处方处方药 | | 🔄 | `CRYPTO_MIXER` | 28 | 🔴 高 | 加密货币混币 / 洗钱 | | 🟢 | `ACTIVE` | 207 | 🟢 低 | 有响应，未确认恶意信号 | | 🅿 | `PARKING` | 27 | ⚪ 信息 | 已停放 / 待售 | | ❌ | `ERROR` | 286 | ⚪ 信息 | 5xx、拒绝连接、无内容 | | ⚫ | `DEAD` | 4,745 | ⚪ 信息 | 无 DNS / 无响应 | 📄 完整的单域名数据：[`data/enriched.csv`](data/enriched.csv)

## 🕸 运营者集群按共享的**服务器指纹 (SHA-256 前缀)** 和 **favicon MurmurHash3** 分组的域名。共享指纹 = 相同的托管技术栈 / 相同的运营者模板 —— 证明存在协同基础设施，而非毫不相干的注册者。 | 集群密钥 | 类型 | 域名数量 | 主要类别 | |---|---|---:|---| | 🔑 `811e0897f489` | `server_fp` | **1,674** | 🎰 赌博 — 土耳其语 *bahis* 集群 | | 🔑 `0ab5f121ab0d` | `server_fp` | 305 | 🎰 赌博 — 多语言赌场 | | 🔑 `4492f7f3e69c` | `server_fp` | 161 | 💳 信用卡欺诈 | | 🔑 `d8c33640a2fc` | `server_fp` | 149 | 💳 信用卡欺诈 | | 🔑 `4b8db6e031cc` | `server_fp` | 122 | 🏦 金融钓鱼 — 1xbet 域名抢注 | | 🔑 `24be2aa9d598` | `server_fp` | 104 | ❌ 错误 (休眠滥用基础设施) | | 🖼 `-736095526` | `favicon_mmh3` | 88 | 🎭 CRYPTO_SCAM — *“Elon”赌场集群* — 与第一阶段重合 | | 🖼 `1869784862` | `favicon_mmh3` | 34 | 🪙 CRYPTO 钓鱼 — Solana drainer 集群 | | 🔑 `a1b77bce0100` | `server_fp` | 28 | ☣ 恶意软件分发 — Binance 冒充 | 完整的集群数据：[`case/CLUSTERS.md`](case/CLUSTERS.md)

## 📦 证据归档所有产出物均通过 SHA-256 进行内容寻址，以支持监管链验证。 | 路径 | 大小 | SHA-256 (16) | 内容 | |---|---:|---|---| | 📊 `data/enriched.csv` | 2.8 MB | `83ea143175d8a378` | 完整的丰富化数据集 — 全部 7,641 个域名，所有列 | | 📊 `data/high_severity.csv` | 748 KB | `ecee3b68b2fb34c8` | 仅包含高严重性 (HIGH) 的过滤子集 | | 📊 `data/dead_domains.csv` | 742 KB | `5ee84646c6872591` | 失效 / 停放 / 错误枚举 | | 🚫 `ioc/domains_high.txt` | 19 KB | `ec9e43c15ff3cffc` | 生产环境拦截列表 — 1,114 个 HIGH 域名 | | 🚫 `ioc/domains_all_malicious.txt` | 39 KB | `d27809c1a099c019` | HIGH + MEDIUM 拦截列表 — 2,221 个域名 | | 🛡 `ioc/indicators.csv` | 775 KB | `4e9dcd3840be9f9a` | SIEM 指标 — IP, server_fp, favicon_mmh3, 类别, 严重性 | | 🔐 `evidence/HASHES.txt` | 168 KB | `131ff258bd0c058c` | 全部 1,953 张截图的 SHA-256 | | 📦 `pkg/raw_data/enriched.csv.gz` | 560 KB | `a2a6f5fda9f364aa` | 压缩的丰富化数据集 | | 📦 `pkg/raw_data/lambda_results.jsonl.gz` | 509 KB | `c0add17921efada8` | 第 1 阶段 — HTTP 指纹原始输出 | | 📦 `pkg/raw_data/deep_results.jsonl.gz` | 1.1 MB | `60b943f03e7ac926` | 第 2/3 阶段 — 浏览器渲染原始输出 | | 📦 `pkg/raw_data/threat_intel.jsonl.gz` | 74 KB | `4a92dafe955b60d4` | 威胁情报交叉引用 | 📋 详细的监管链文档：[`PROVENANCE.md`](PROVENANCE.md) ### 🔍 验证 ``` # 验证任何 archive sha256sum pkg/raw_data/enriched.csv.gz # 预期 prefix: a2a6f5fda9f364aa… # 针对 manifest 验证所有 1,953 张截图 cd docs/screenshots && sha256sum -c ../../evidence/HASHES.txt ```

## 🎯 典型已确认案例 | 域名 | 类别 | 证据 | |---|---|---| | 💳 `buyclonecards.bond` | 信用卡欺诈 | 明目张胆的克隆卡商店、CVV Dump 市场 | | ☣ `thebtmob.com` | 恶意软件分发 | 活跃的 BT-MOB RAT 商店、恶意软件即服务 | | 🚰 `fragapi.com` | CRYPTO_DRAIN | 助记词窃取表单 (浏览器已确认) | | 🚰 `instasolana.bond` | CRYPTO_DRAIN | Solana 钱包 Drainer、共享 1,674 个域名的基础设施 | | 🪙 `purnp-fun.com` | CRYPTO 钓鱼 | 虚假的 Pump.fun / Solflare 钓鱼页面 | | ☣ `kmspico.zip` | 恶意软件分发 | 伪装为破解版/注册机的恶意软件 | | 💳 `rollmaneycontrol.bond` | 信用卡欺诈 | 资金骡子 / 转账欺诈 | 完整的单域名叙事记录：[`case/HIGH_SEVERITY.md`](case/HIGH_SEVERITY.md)

## ⚖ 执法态势 ICANN 的职责是维护 DNS 的技术稳定性，而非警务欺诈。注册商认证协议 (RAA) 是一份合同；违反 RAA §3.18 属于违约行为，而非犯罪。撤销认证是一个以年为单位衡量的行政程序。 Fewmoretaps OÜ 从从事电信诈骗、凭证窃取、信用卡欺诈和加密货币盗窃的运营者那里收取注册费用 —— 这确立了其在犯罪资金流中的知情地位。**刑事责任的认定不需要以 ICANN 的行动为前提。** | 机构 | 司法管辖区依据 | |---|---| | 🇪🇪 **Politsei- ja Piirivalveamet** | 主要注册管辖区 · 欧盟反洗钱 (AML) 指令 | | 🇪🇪 **CERT-EE / RIA** | 国家 CERT · 网络犯罪报告机构 | | 🇪🇺 **Europol EC3** | 跨境网络犯罪协调 · iForce 转介 | | 🇺🇸 **FBI IC3** | 电信诈骗 (18 U.S.C. §1343)、CFAA — 针对美国受害者 | | 🇺🇸 **FinCEN** | 货币服务业务违规 · 美元流向追踪 |

## 📂 存储库结构 ``` trustname-evidence/ ├── 📊 docs/ GitHub Pages site │ ├── index.html Executive report — metrics, charts, gallery │ ├── domains.html Searchable per-domain table (7,641) │ ├── data.json Slim dataset for the live report │ ├── build_datajson.py Generator: enriched.csv → data.json │ ├── sitemap.xml / robots.txt / .nojekyll │ └── screenshots/ Local mirror; ignored by git, publish via S3/Git LFS ├── 📁 data/ Source datasets │ ├── enriched.csv Full per-domain dataset │ ├── high_severity.csv HIGH-only filtered subset │ └── dead_domains.csv Dead / parked enumeration ├── 🚫 ioc/ Indicators of Compromise │ ├── domains_high.txt 1,114 HIGH blocklist │ ├── domains_all_malicious.txt 2,221 HIGH + MEDIUM blocklist │ └── indicators.csv SIEM-ready ├── 🔐 evidence/ │ ├── screenshots/ Local screenshot archive; ignored by git │ └── HASHES.txt SHA-256 manifest ├── 📄 case/ Narrative reports │ ├── INVESTIGATION.md │ ├── HIGH_SEVERITY.md │ └── CLUSTERS.md ├── 📦 pkg/raw_data/ Compressed raw scan output │ ├── enriched.csv.gz │ ├── lambda_results.jsonl.gz │ ├── deep_results.jsonl.gz │ └── threat_intel.jsonl.gz ├── 🔧 .github/workflows/pages.yml Auto-build & deploy ├── 📄 PROVENANCE.md Chain of custody ├── 📄 VERIFY.md Hash verification and release signing ├── 📄 NOTICE.md TLP:CLEAR and evidence-use notice ├── 📄 CITATION.cff Citation metadata ├── 🔐 SHA256SUMS.txt Repository SHA-256 manifest ├── 📜 LICENSE MIT └── 📖 README.md ```

## 🌐 PhishDestroy [![PhishDestroy.io](https://img.shields.io/badge/Main_Site-phishdestroy.io-da3633?style=for-the-badge&logo=firefoxbrowser&logoColor=white&labelColor=0c1018)](https://phishdestroy.io/) [![第一阶段文章](https://img.shields.io/badge/📰_Phase_I-Bulletproof_Exposed-6ea8d7?style=for-the-badge&labelColor=0c1018)](https://phishdestroy.io/trustname-bulletproof-exposed/) [![实时报告](https://img.shields.io/badge/▶_Live_Report-GitHub_Pages-3fb950?style=for-the-badge&labelColor=0c1018)](https://phishdestroy.github.io/trustname-evidence/) **PhishDestroy** 是一个独立的反钓鱼与反欺诈研究项目。我们的工作包括： - **大规模域名滥用检测** — 对涉嫌“防弹”的注册商进行完整区域扫描，发布实时 IOC feed，进行基础设施集群分析 - **运营者归因** — 企业注册取证、支付渠道追踪、虚假评论取证、基础设施映射 - **公开证据包** — TLP:CLEAR，基于 MIT 许念证，符合 ICANN 规范，适用于执法机构接入和学术引用

## 🌐 镜像与长期访问 | 渠道 | 标识符 | |---|---| | 🐙 GitHub | [`phishdestroy/trustname-evidence`](https://github.com/phishdestroy/trustname-evidence) | | 🌐 GitHub Pages | [`phishdestroy.github.io/trustname-evidence`](https://phishdestroy.github.io/trustname-evidence) | | 📰 PhishDestroy 发布平台 | [`phishdestroy.io/trustname-bulletproof-exposed`](https://phishdestroy.io/trustname-bulletproof-exposed/) | | 🌐 PhishDestroy 主站 | [`phishdestroy.io`](https://phishdestroy.io/) | | ⏳ Wayback Machine | 发布时锁定的快照 |

## 📚 引用 ``` @misc{phishdestroy_trustname_2026, author = {PhishDestroy Research}, title = {Fewmoretaps O\"U / Trustname.com --- Registrar Zone Evidence (Phase II of the Trustname Investigation)}, year = 2026, month = jun, howpublished = {GitHub}, url = {https://github.com/phishdestroy/trustname-evidence} } ``` 纯文本： ``` PhishDestroy. (2026). Fewmoretaps OÜ / Trustname.com — Registrar Zone Evidence (Phase II of the Trustname investigation). GitHub. https://github.com/phishdestroy/trustname-evidence ```

## ⚖️ 法律声明与负责任的披露本存储库中的所有数据均**完全从公开可访问的来源**收集： | 来源 | 方法 | |---|---| | 区域文件 | ICANN CZDS — 认证访问，许可使用 | | WHOIS | 公开 WHOIS 协议 (RFC 3912) | | HTTP 响应 | 对公开可访问 URL 的被动爬取 | | DNS 记录 | 被动 DNS / 权威查询 | | 截图 | 任何浏览器均可访问的渲染页面 | **未访问任何非公开系统。未测试任何凭证。未绕过任何身份验证。未处理任何受害者数据。** 本次发布是在以下规范下进行的： - ICANN 注册商认证协议 §3.18 (滥用响应义务) - [CISA 协调漏洞披露指南](https://www.cisa.gov/coordinated-vulnerability-disclosure-process) - [FIRST.org TLP:CLEAR 定义](https://www.first.org/tlp/) — 允许无限制的公开共享 ### 关于声誉影响本研究记录了客观可验证的事实：域名注册模式、HTTP 响内容以及注册商对滥用行为的响应延迟。Trustname.com / Fewmoretaps OÜ 是一家受 ICANN 认证的注册商，受公共问责义务的约束。发布有关违反 ICANN 滥用响应要求的事实证据并不构成诽谤 —— 这正是这些规则旨在实现的功能。维持正常滥用响应 pipeline 的注册商完全不必担心此次披露。如果 Trustname 对任何发现存有异议：请通过 [phishdestroy.io](https://phishdestroy.io) 提交书面证据。有证据支持而需要更正的发现，将在带时间戳的更新中被修正。 | | | |---|---| | 📜 许可证 | **MIT** — 见 [`LICENSE`](LICENSE) | | 🏷 TLP | **CLEAR** — 无限制分发，无任何限制 | | 🤝 分享 | 研究人员、记者、执法机构、品牌保护团队 — 自由使用 | | 📋 证据声明 | [`NOTICE.md`](NOTICE.md) | | 🔏 验证 | [`VERIFY.md`](VERIFY.md) | | 🌐 联系方式 | [phishdestroy.io](https://phishdestroy.io) |

## 🕸️ 同谋注册商网络本次调查是一个系列调查的一部分，旨在记录那些系统性地阻碍反钓鱼执法或直接从欺诈基础设施中获利的 ICANN 认证注册商。 | # | 注册商 | IANA | 区域 | 确认恶意 | 俄罗斯关联 | 调查 | |--|--|--|--|--|--|--| | 1 | **NICENIC INTERNATIONAL GROUP** | #3765 | 349,376 | **18,927 (占存活域名 50%)** | 🇷🇺 第二大托管国 (8.5%) | [nicenic-evidence](https://github.com/phishdestroy/nicenic-evidence) · [实时报告](https://phishdestroy.github.io/nicenic-evidence/) | | 2 | **Trustname.com / Fewmoretaps ÖÜ** *(当前)* | #4318 | 9,343 | **1,114 高 (占存活域名 86%)** | 🇷🇺 由俄罗斯人运营，爱沙尼亚空壳公司 | [trustname-evidence](https://github.com/phishdestroy/trustname-evidence) · [实时报告](https://phishdestroy.github.io/trustname-evidence/) | | 3 | **NameSilo, LLC** | #1479 | 5,251,494 | **183,419** | 🇷🇺 俄罗斯团队成员，压制行动 | [namesilo-evidence](https://github.com/phishdestroy/namesilo-evidence) · [实时报告](https://phishdestroy.github.io/namesilo-evidence/) | ## 🇷🇺 俄罗斯关联与同谋记录 ### 运营者 — 是白俄罗斯人，不是爱沙尼亚人 **Fewmoretaps ÖÜ** 在爱沙尼亚注册，但完全由白俄罗斯公民运营，没有任何合法的商业活动： **创始人 (2021–2023)：** | 字段 | 详情 | |--|--| | 姓名 | **Vitali Tsyvinski** | | 国籍 | 白俄罗斯 | | 个人 ID | 39403090187 | | 角色 | 唯一董事会成员及股东 | | 签字 | 于 13.01.2023 签署 2022 年度报告 | **现任所有者 / CEO (自 2023 年 5 月 23 日起)：** | 字段 | 详情 | |--|--| | 姓名 | **Kiryl Nestsiarovich** ("Kir N.") | | 出生日期 | 09.09.1993 | | 国籍 | 白俄罗斯 | | 电话 | +375 29 2964411 (MTS 手机，白俄罗斯运营商) | | 持股比例 | 100% | | 状态 | 在 trustname.com/about 上被列为 CEO | 爱沙尼亚纯粹被用作一个便利的管辖区的“门面”。该公司仅有**一名员工** (Nestsiarovich 本人)，2024 年申报的收入为 120 欧元，而长期负债高达 **175,310 欧元**，目前正处于**清算程序中**。 ### 财务现实与营销宣传的对比 **Trustname.com 的宣传：** - “2025 年增长最快的独立注册商第一名” - “受数百万人信赖” - 世界 500 强客户：麦当劳、沃达丰、阿迪达斯、雅虎、BCG - “超过 35 人的团队” - 在伦敦、比佛利山庄、墨尔本设有办事处 - “始于 1997 年” **爱沙尼亚税务申报显示的真相：** - 2024 年总收入为 120 欧元 - 1 名员工 - 成立于 2021 年 — 而不是 1997 年 - 公司处于清算程序中 - 仅有虚拟办公地址 - 30 个虚假网站推荐信 — 仅有 11 个独特的名字 ("Jack" ×5, "Lily" ×6) 营销门面与企业现实之间的差距并非偶然的误差 — 这就是他们的商业模式。 ### 加密货币钱包 (接受门罗币 — 无法追踪) | 资产 | 地址 | |--|--| | ETH | `0xdee6582dc53fa56180311393018121c6f1e8bd7c` | | LTC | `MEREvHtzqAUTJ1XvEevmci8UqMnDvfe2ri` | | ZEC | `t1d19KevpcXpesr9XA9UUyMW9XGYVDxkK9S` | | **XMR** | `8B5N29BocrTjkRCeGCARnkhKgBeHBhg4oH7ay4RfXfnL7RqBdyiuL4k6iN4GVUVxt1EQJvZRqLg8n4qgCNWmYHQQDZmfytM` | 接受专门设计为无法追踪的加密货币 **门罗币 (XMR)**，同时申报 120 欧元的年收入并持有 ICANN 认证，这绝不仅仅是一个合规上的边缘案例。这是对爱沙尼亚反洗钱 (AML) 法律和虚拟资产服务提供商 (VASP) 许可要求的结构性违反。 ### 俄语欺诈基础设施 2026 年 4 月通过 IANA #4318 注册的活跃诈骗赌场域名，均由注册商拥有的隐私代理保护： | 域名 | 注册日期 | 备注 | |--|--|--| | noawin.com | 04-12-2026 | 隐私保护：Perfect Privacy LLC (圣基茨和尼维斯) | | henofex.com | 04-09-2026 | “Elon Musk”赌场骗局 | | jopexplay.com | 04-10-2026 | 被 Cloudflare 拦截 | | bezowin159.pro | 04-13-2026 | 隐私保护：WHOIS Privacy Protection LLC | | noswin152.pro | 04-08-2026 | — | | bazowin781.pro | 04-08-2026 | — | **共享后端：** `gambler-partners.is` — 标题为 **"Gambler | Главная"** 的俄语管理面板 Trustname 运营着**两家注册商拥有的隐私代理服务**，以保护其欺诈客户： - **harakiri.org** — Perfect Privacy LLC，圣基茨和尼维斯 — 接受 BTC, LTC, XMR, ZEC - **whoispps.com** — WHOIS Privacy Protection LLC，佛罗里达州奥兰多 — “实体邮件将被丢弃” ### 已记录的阻碍行为 - 拥有完整证据包的域名在接到滥用报告后**仍未被暂停**。 - 注册收入和加密货币支付源源不断地来自运营电信诈骗、凭证窃取和赌场骗局的罪犯 — **对犯罪资金流知情**。 - 公司正处于清算中，但其 ICANN 认证依然有效 — 执法滞后为持续的滥用创造了操作窗口。 - 作为受 **爱沙尼亚反洗钱/反恐融资 (AML/CFT) 法律**和欧盟 VASP 框架管辖的欧盟注册实体，Fewmoretaps 实际上在运营一个无证加密货币交易所。 - 带有证据的直接滥用报告：**被无视或收到模板化的无效回复。** - 根据爱沙尼亚法律，刑事责任的认定不需要以 ICANN 采取行动为前提。 **完整的第一阶段调查：** [phishdestroy.io/trustname-bulletproof-exposed](https://phishdestroy.io/trustname-bulletproof-exposed/) ## 🔗 相关调查 [![NameSilo 调查](https://img.shields.io/badge/Related-namesilo--evidence_(5.2M_domains)-6ea8d7?style=for-the-badge&logo=github&logoColor=white&labelColor=0c1018)](https://github.com/phishdestroy/namesilo-evidence)

**PhishDestroy 研究** · 第二阶段 · 2026 年 6 月 · TLP:CLEAR

标签：ESC4, OSINT, Sigma 规则, Sysdig, 域名分析, 威胁情报, 开发者工具, 数据报告, 特征检测, 逆向工具, 配置审计, 钓鱼防护