Condor2026/Andromeda-analisi-grupos-ciber-delictivos
GitHub: Condor2026/Andromeda-analisi-grupos-ciber-delictivos
一份基于OSINT的网络威胁情报档案,系统分析了2026年「#OpThailand」行动期间46个犯罪和黑客行动主义组织的活动与TTP。
Stars: 0 | Forks: 0
# 🦅 Condor2026 – 网络威胁情报档案
| **#OpThailand 2026** | **OSINT 分析** | **威胁情报** |
**作者:** Condor2026
**时期:** 2026-06-22 至 2026-07-02
**来源:** 40+ 个 Telegram 频道 | ~7,177 个事件
**分类:** [TLP:CLEAR] – 公开调查
# 网络威胁情报档案 - OPTHAILAND 2026
**分析时期:** 2026-06-22 至 2026-07-02
**监控来源:** 40+ 个 Telegram 频道,~7,177 个事件
**分类:** [TLP:CLEAR] - 通过公开来源和 OSINT 技术进行的公开调查。
**作者:** Condor2026
**目的:** 网络安全、防御和预防领域的学术研究!
## 第 1 部分:简介与背景
### 1.1 执行摘要
监控期内揭示了多前线上的**密集网络活动**。
已识别出**46 个犯罪和黑客行动主义组织**在数字生态系统中运作,其动机和复杂程度各不相同。
**主要发现:**
| 发现 | 描述 |
|----------|-------------|
| **主要威胁** | #OpThailand - 针对泰国的协同攻击行动 |
| **涉及组织** | 14 个组织参与了 #OpThailand 联盟 |
| **行为者总数** | 已识别出 46 个组织 |
| **来源国** | 柬埔寨、俄罗斯、印度尼西亚、亚美尼亚、阿尔及利亚、国际 |
| **动机** | 利润、民族主义、地缘政治、知名度 |
| **策略** | Defacement、DDoS、凭据泄露、doxing、诈骗、间谍活动 |
### 1.2 分析方法
**信息来源:**
- 威胁组织的公开 Telegram 频道
- 网络犯罪论坛 (DutyFreeForum、VoidNet、XSSF)
- 黑市 (DataPremium_SSSO、blackmrkt1337ch)
- 事件交叉验证
**分析过程:**
1. **识别:** 搜索并跟踪相关频道
2. **监控:** 在分析期间捕获消息
3. **分类:** 按行为者类型和活动进行分类
4. **验证:** 在多个来源之间交叉核对信息
5. **匿名化:** 保护敏感的个人数据
**局限性:**
- 某些行为者可能存在虚假信息
- 覆盖不完整(可能存在未被监控的频道)
- 某些攻击的验证有限
### 1.3 黑客行动主义的历史背景
#### 1.3.1 东南亚黑客行动主义的起源
东南亚的黑客行动主义深深根植于民族主义冲突和领土争端中。黑客组织将网络空间作为战场,以此表达爱国主义并攻击对手。
**历史案例:**
- **1998年:** 中国黑客在针对华人社区的骚乱后攻击印度尼西亚
- **2010-2012年:** 中日因领土争端引发的网络冲突
- **2015-2018年:** 东南亚民族主义黑客行动主义的兴起
#### 1.3.2 柬泰冲突
柬埔寨和泰国之间因领土争端引发的紧张局势已经蔓延至网络空间。自 2026 年 4 月起,记录了柬埔寨起源的组织对泰国政府网站的攻击。
**网络冲突的里程碑:**
- **2026年4月:** 首次记录的攻击
- **2026年6月:** 泰国警方发布逮捕令
- **2026年6月下旬:** 升级为 #OpThailand
- **2026年7月:** 警察基础设施被攻陷
#### 1.3.3 作为物理冲突延伸的网络战
俄罗斯和乌克兰之间的冲突催化了黑客行动主义的演变。网络空间已经成为国家与非国家行为者合作的战场。
**网络战的演变:**
- **2014年:** 俄罗斯和乌克兰之间的首次网络攻击
- **2022年:** 志愿者“网络军队”的建立
- **2024-2026年:** 行动的专业化与升级
#### 1.3.4 当前的生态系统
如今,该生态系统变得更加复杂。黑客行动主义和有组织犯罪之间的界限变得模糊。最初作为黑客行动主义的组织已经演变为按需行事的网络犯罪行动。
**关键因素:**
- 组织的专业化
- “犯罪即服务” 的商业模式
- 犯罪组织与黑客行动主义者之间的合作
- 人工智能和自动化的使用
## 第 2 部分:组织档案(按类型分类)
### 类别 1:有组织的网络罪犯 (BLACKHATS)
*以经济利益为目的运作。出售数据、工具、访问权限和服务。*
| # | 组织 | 频道 | 国家 | 级别 |
|---|-------|-------|------|-------|
| 1 | DutyFreeForum | @DutyFreeForum | 国际 | 🔴 严重 |
| 2 | DataPremium_SSSO | @DataPremium_SSSO | 国际 | 🔴 严重 |
| 3 | DarkStormTeam | @Darkstormteam22 | 国际 | 🔴 严重 |
| 4 | CoupTeam | @CoupTeam | 国际 | 🔴 严重 |
| 5 | BotnetKingdom | @BotnetKingdom | 国际 | 🔴 严重 |
| 6 | blackmrkt1337ch | @blackmrkt1337ch | 国际 | 🔴 严重 |
| 7 | VoidNet | @hackers_void | 国际 | 🟠 高 |
#### 1.1 DutyFreeForum (@DutyFreeForum)
| 属性 | 详情 |
|----------|---------|
| **分类** | 💰 网络罪犯(犯罪论坛) |
| **角色** | 犯罪教育与协调平台 |
| **国家** | 国际(以俄语运作) |
| **动机** | 经济利益 |
| **活动级别** | 🔴 严重 |
**历史记录:**
- 成立为网络犯罪论坛
- 发布有关 hacking、phishing 和漏洞利用的详细指南
- 被 IT Army of Russia 用于协调行动
- 教育新的犯罪分子
**已记录的活动:**
- 关于如何利用 npm 植入 backdoor 的指南
- 关于如何使用 Cloudflare 进行 phishing 的指南
- 创建用于匿名行动的“amnesia”操作系统
- 分析 Android 银行恶意软件
**证据:**
```
[2026-06-27 19:07:00] 🏥 ALERTA SALUD
📢 Canal: @DutyFreeForum
📝 Contenido: Creamos nuestro propio sistema de amnesia (live-os personalizado) con VLESS+REALITY y killswitch bajo el capó
[2026-07-02 01:46:22] ⚠ ALERTA ATAQUE
📢 Canal: @DutyFreeForum
📝 Contenido: [npm dropper] paquetes de puerta trasera
```
**战术分析:**
- **TTPs:** 犯罪教育、发布技术指南、协调行动
- **目标:** 培训新的犯罪分子,扩大犯罪生态系统
- **影响:** 高 - 促使新的行为者进入网络犯罪领域
#### 1.2 DataPremium_SSSO (@DataPremium_SSSO)
| 属性 | 详情 |
|----------|---------|
| **分类** | 💰 网络罪犯(黑市) |
| **角色** | 出售数据库、访问权限和机密文件 |
| **国家** | 国际 |
| **动机** | 经济利益 |
| **活动级别** | 🔴 严重 |
**历史记录:**
- 最活跃的黑市之一
- 出售政府、企业和军方的数据
- 泄露了北约 (OTAN) 的武器文件
**已记录的活动:**
- 出售乌克兰国防部数据库(198 GB,$5,000)
- 出售 Bushberry 装甲车的技术文档
- 出售 Leopard 2 A6 坦克的技术文档
- 出售对 MilChat(乌克兰军事系统)的访问权限
- 出售防空无人机测试材料
- 出售企业和政府数据库
**证据:**
```
[2026-06-24] 🔨 Lote: 26.9.24.7
📢 Canal: @DataPremium_SSSO
📝 Contenido: documentación técnica completa Bushmaster es un vehículo blindado de ruedas australiano
[2026-06-24] 🔨 Lote: 15.2.25.31
📢 Canal: @DataPremium_SSSO
📝 Contenido: Materiales exclusivos con pruebas de los últimos drones antiaéreos y vehículos autopropulsados no tripulados
```
**战术分析:**
- **TTPs:** 数据出售、工业间谍活动、系统访问
- **目标:** 经济利益、军事间谍活动
- **影响:** 严重 - 泄露北约军事文件
#### 1.3 DarkStormTeam (@Darkstormteam22)
| 属性 | 详情 |
|----------|---------|
| **分类** | 💰 网络罪犯(服务) |
| **角色** | 账户解锁和资料“加固” |
| **国家** | 国际 |
| **动机** | 经济利益 |
| **活动级别** | 🟠 高 |
**历史记录:**
- 以“Lime Media”名义运作
- 提供 Instagram 解锁服务
- 提供账户“高级保护”
- 在平台内部拥有人脉
**已记录的活动:**
- 在 0-24 小时内解锁 Instagram 账户
- 从 $1,000/月起提供高级账户“加固”
- 每月账户监控
**证据:**
```
[2026-06-26 23:49:17] ⚠ ALERTA ATAQUE
📢 Canal: @Dark_Storm_Team
📝 Contenido: 🚀 0–10 Day Unbans Are Coming Through! ✅ 0–10 Day TAT available.
[2026-07-02 01:53:55] ⚠ ALERTA ATAQUE
📢 Canal: @Dark_Storm_Team
📝 Contenido: 🛡 Instagram Account Shielding — Premium Protection Starting from $1XXX/month
```
**战术分析:**
- **TTPs:** 社会工程学、平台内部人脉
- **目标:** 利润、获取高调账户的访问权限
- **影响:** 中 - 影响社交媒体用户
#### 1.4 CoupTeam (@CoupTeam)
| 属性 | 详情 |
|----------|---------|
| **分类** | 💰 网络罪犯(攻击工具) |
| **角色** | 出售 hacking 工具和 botnet |
| **国家** | 国际 |
| **动机** | 经济利益 |
| **活动级别** | 🟠 高 |
**历史记录:**
- 以“BotnetKingdom”名义运作
- 出售定制的 DDoS 脚本
- 出售私人 botnet (C2/P2P)
- 出售 hacking 工具 (0-day/N-day)
- 出售银行日志和 webshell
**已记录的活动:**
- 对 Instagram 的 DDoS 攻击(300 秒,10 倍并发)
- 出售 hacking 工具
**证据:**
```
[2026-06-24 18:15:31] 💀 ALERTA BOTNET
📢 Canal: @CoupTeam
📝 Contenido: ⭐ Target: https://instagram.com (Down FUCKED) ⭐ Seconds: 300 🤩 Concurrents: 10x
💰 FOR SALE 💰 💀 Custom DDoS Scripts (L3-L4-L7) 💀 Private Botnet (C2/P2P) 💀 Hacking Tools (0-day/N-day)
```
**战术分析:**
- **TTPs:** 出售攻击工具、运营 botnet
- **目标:** 利润、为其他犯罪分子提供基础设施
- **影响:** 高 - 增强其他组织的攻击能力
#### 1.5 blackmrkt1337ch (@blackmrkt1337ch)
| 属性 | 详情 |
|----------|---------|
| **分类** | 💰 网络罪犯(市场) |
| **角色** | 出售 webshell 访问权限和凭据 |
| **国家** | 国际 |
| **动机** | 经济利益 |
| **活动级别** | 🟠 高 |
**已记录的活动:**
- 出售 webshell 访问权限
- 发布泄露的凭据
- 出售服务器访问权限
**证据:**
```
[2026-06-29 16:12:20] ⚠ ALERTA ATAQUE
📢 Canal: @blackmrkt1337ch
📝 Contenido: FREE WP LOGINN!! https://formation-blogueur-pro.com/wp-login.php|pie***y23**@gmail.com|t*ere*y
```
**战术分析:**
- **TTPs:** 发布凭据、出售访问权限
- **目标:** 利润、系统访问
- **影响:** 高 - 危及网站和系统安全
#### 1.6 VoidNet (@hackers_void)
| 属性 | 详情 |
|----------|---------|
| **分类** | 💰 网络罪犯(论坛) |
| **角色** | 无审查的 hacker 论坛 |
| **国家** | 国际 |
| **动机** | 利润/社区 |
| **活动级别** | 🟠 高 |
**历史记录:**
- 于 2026 年 7 月上线
- 在公共 IP 和 Tor 上运作
- 承诺“无日志,无审查”
- 吸引犯罪分子和 hacker
**已记录的活动:**
- 建立完全加密的论坛
- 讨论漏洞、OSINT、网络、匿名化
- 发布病毒分析指南
- 24 小时内有 36 名注册用户
**证据:**
```
[2026-07-01 11:48:15] ⚠ ALERTA ATAQUE
📢 Canal: @hackers_void
📝 Contenido: VoidNet es un foro de hackers de nueva generación. Cifrado completo. Sin registros. Sin censura. Enlace: http://178.72.184.43
```
**战术分析:**
- **TTPs:** 建立论坛、讨论攻击技术
- **目标:** 犯罪社区、协调
- **影响:** 高 - 为犯罪分子创建安全空间
### 类别 2:CRACKERS(为了知名度/利润而破坏系统)
*专门从事破坏系统、窃取凭据和 defacement。*
| # | 组织 | 频道 | 国家 | 级别 |
|---|-------|-------|------|-------|
| 8 | paskocyberrexorr | @paskocyberrexorr | 印度尼西亚 | 🔴 高 |
| 9 | Mr.PIMZZZXploit | @Pimzganteng | 印度尼西亚 | 🔴 高 |
| 10 | XSSF Forum | @xssf_forum | 俄罗斯 | 🟠 高 |
#### 2.1 paskocyberrexorr (@paskocyberrexorr)
| 属性 | 详情 |
|----------|---------|
| **分类** | 🔓 CRACKER |
| **角色** | Defacement 和数据泄露 |
| **国家** | 印度尼西亚 |
| **动机** | 知名度和利润 |
| **活动级别** | 🔴 高 |
**历史记录:**
- 印度尼西亚最活跃的 cracker 之一
- 与“Mr.PIMZZZXploit”合作
- 对网站进行大规模 defacement
- 出售 webshell 访问权限
**已记录的活动:**
- 对数十个教育和政府网站进行 def
- 发布凭据
- 出售 webshell 访问权限 (.edu, .com, .org)
- 发布个人数据 (NIK、姓名、地址)
- 对印度尼西亚、印度、巴西、厄瓜多尔的网站进行 defacement
**证据:**
```
[2026-06-24 19:49:46] ⚠ ALERTA ATAQUE
📢 Canal: @paskocyberrexorr
📝 Contenido: Hacked By Mr.PIMZZZXploit Site : https://pay.freelancingbyrifat.top
[2026-06-26 12:35:53] ⚠ ALERTA ATAQUE
📢 Canal: @paskocyberrexorr
📝 Contenido: NIK: 3204***** Nama: TAUFIK HIDAYAT Tgl Lahir: 13 Juni 1996
```
**战术分析:**
- **TTPs:** Defacement、doxing、出售访问权限
- **目标:** 知名度、利润、破坏网站
- **影响:** 高 - 大规模破坏网站
#### 2.2 Mr.PIMZZZXploit (@Pimzganteng)
| 属性 | 详情 |
|----------|---------|
| **分类** | 🔓 CRACKER |
| **角色** | Defacement 和出售访问权限 |
| **国家** | 印度尼西亚 |
| **动机** | 知名度和利润 |
| **活动级别** | 🔴 高 |
**历史记录:**
- 与 paskocyberrexorr 有关联
- 专门从事网站 defacement
- 出售 webshell 访问权限
**已记录的活动:**
- 对印度尼西亚、印度、巴西、厄瓜多尔的网站进行 defacement
- 出售多个国家的 webshell 访问权限
**证据:**
```
[2026-06-24 19:53:34] ⚠ ALERTA ATAQUE
📢 Canal: @paskocyberrexorr
📝 Contenido: Hacked By Mr.PIMZZZXploit Site : https://classificado.criacaodesitesembh.com.br
```
**战术分析:**
- **TTPs:** Defacement、漏洞利用
- **目标:** 知名度、利润
- **影响:** 高 - 破坏网站
### 类别 3:网络恐怖分子
*攻击民用基础设施以造成破坏和恐慌。*
| # | 组织 | 频道 | 国家 | 级别 |
|---|-------|-------|------|-------|
| 11 | Armenian Code | @armeniancode_eng | 亚美尼亚 | 🟠 高 |
| 12 | Sector 16 (RUSCAD) | 未识别 | 俄罗斯 | 🔴 严重 |
#### 3.1 Armenian Code (@armeniancode_eng)
| 属性 | 详情 |
|----------|---------|
| **分类** | ☠️ 网络恐怖分子 |
| **角色** | 攻击工业基础设施 |
| **国家** | 亚美尼亚 |
| **动机** | 民族主义,对土耳其的历史复仇 |
| **活动级别** | 🟠 高 |
**历史记录:**
- 亚美尼亚 hacker 组织
- 攻击土耳其民用基础设施
- 对泵站造成了物理破坏
**已记录的活动:**
- 攻陷土耳其泵站的自动化系统
- 操纵发动机负载和截止阀
- 在一家土耳其公司引发洪水
- 操纵灌溉系统以耗尽资源
**证据:**
```
[2026-06-24 15:16:19] ⚠ ALERTA ATAQUE
📢 Canal: @armeniancode_eng
📝 Contenido: We broke into the pumping station's automation systems, conducted an analysis, and selected the best arrangement of motor loads and shut-off valves for the Turks.
Soon there will be a flood at one of their enterprises.
[2026-07-01 12:00:55] ⚠ ALERTA ATAQUE
📢 Canal: @armeniancode_eng
📝 Contenido: We have received the opportunity to manage the cyclical operation of equipment: thanks to our intervention, the irrigation system will not be activated every twenty minutes, but will work until the resources are completely exhausted.
```
**战术分析:**
- **TTPs:** 攻击 ICS/SCADA 系统、操纵基础设施
- **目标:** 造成物理破坏、制造恐慌
- **影响:** 严重 - 破坏民用基础设施
#### 3.2 Sector 16 (RUSCAD)
| 属性 | 详情 |
|----------|---------|
| **分类** | ☠️ 网络恐怖分子 / 间谍 |
| **角色** | 攻击美国关键基础设施 |
| **国家** | 俄罗斯 |
| **动机** | 地缘政治 |
| **活动级别** | 🔴 严重 |
**历史记录:**
- 从 Cyber Army of Russia Reborn (CARR) 分裂出来
- 攻击工业控制系统 (ICS/SCADA)
- 曾攻击德克萨斯州的石油和天然气生产工厂
- 受到美国国务院 1000 万美元的悬赏
**已记录的活动:**
- 攻击美国关键基础设施
- 与 OverFlame 和 Z-Pentest 合作
**战术分析:**
- **TTPs:** 攻击 ICS/SCADA、工业间谍
- **目标:** 破坏基础设施、间谍活动
- **影响:** 严重 - 美国国家安全
### 类别 4:间谍 / 国家情报
*为国家效力,窃取文件并进行间谍活动。*
| # | 组织 | 频道 | 国家 | 级别 |
|---|-------|-------|------|-------|
| 13 | IT Army of Russia | @itarmyofrussianews | 俄罗斯 | 🔴 严重 |
| 14 | NoName057(16) | @NoName057(16) | 俄罗斯 | 🟠 高 |
| 15 | MatrixMaps | @MatrixMaps | 俄罗斯 | 🟠 高 |
#### 4.1 IT Army of Russia (@itarmyofrussianews)
| 属性 | 详情 |
|----------|---------|
| **分类** | 🕵️ 间谍 / 网络战 |
| **角色** | 亲俄网络行动 |
| **国家** | 俄罗斯 |
| **动机** | 支持俄罗斯军事行动 |
| **活动级别** | 🔴 严重 |
**历史记录:**
- 出现于 2025 年 3 月下旬
- 与 DutyFreeForum 论坛协调行动
- 专注于 DDoS 和数据泄露
**已记录的活动:**
- 对 WhiteBit(加密货币交易所)进行 DDoS 攻击
- 泄露 Ukrposhta 数据库(172 GB,120 万条记录)
- 与其他亲俄组织协调
**证据:**
```
[2026-06-24 20:18:12] 🏥 ALERTA SALUD
📢 Canal: @itarmyofrussianews
📝 Contenido: Durante dos días hemos estado interrumpiendo la disponibilidad del intercambio de cifrado proucraniano WhiteBit.
[2026-06-24 23:17:05] ⚠ ALERTA ATAQUE
📢 Canal: @itarmyofrussianews
📝 Contenido: Ukrposhta: piratería de bases de datos y compromiso del servidor. auth_db pesa más de 172 GB y contiene más de 1,2 millones de registros de usuarios.
```
**战术分析:**
- **TTPs:** DDoS、数据泄露、协调行动
- **目标:** 支持俄罗斯军事行动
- **影响:** 高 - 破坏乌克兰基础设施
#### 4.2 MatrixMaps (@MatrixMaps)
| 属性 | 详情 |
|----------|---------|
| **分类** | 🕵️ 军事情报 |
| **角色** | 绘制乌克兰基础设施地图 |
| **国家** | 俄罗斯 |
| **动机** | 支持军事行动 |
| **活动级别** | 🟠 高 |
**已记录的活动:**
- 乌克兰军工综合体的动态地图
- 实时无人机跟踪
- 乌克兰战斗仓库(>540 个目标)
- 关键基础设施(桥梁、铁路、变电站)
- 防空和雷达系统
**证据:**
```
[2026-06-24] 📄 Canal creado
📢 Canal: @MatrixMaps
📝 Contenido: Matrix es una plataforma en línea cerrada para monitoreo y análisis de datos en profundidad para la defensa. El módulo clave del sistema es un mapa dinámico de objetos del complejo militar-industrial de Ucrania.
```
**战术分析:**
- **TTPs:** OSINT、基础设施映射、情报分析
- **目标:** 支持军事行动
- **影响:** 高 - 为军事攻击提供情报
### 类别 5:诈骗分子
*欺骗受害者以窃取金钱或个人数据。*
| # | 组织 | 频道 | 国家 | 级别 |
|---|-------|-------|------|-------|
| 16 | QuantumStellarInitiative | @QuantumStellarInitiative | 国际 | 🟠 高 |
| 17 | Lime Media | @xx_Lime_store_xx | 国际 | 🟡 中 |
#### 5.1 QuantumStellarInitiative (@QuantumStellarInitiative)
| 属性 | 详情 |
|----------|---------|
| **分类** | 🎭 诈骗分子(加密货币诈骗) |
| **角色** | 出售虚假 token 和传销骗局 |
| **国家** | 国际 |
| **动机** | 经济利益 |
| **活动级别** | 🟠 高 |
**历史记录:**
- 加密货币诈骗频道
- 出售虚假的“ICO”(首次代币发行)
- 承诺天价回报(7000% 现金返还)
- 使用深奥和伪科学的术语
**已记录的活动:**
- 出售“Chronocrypt Seed ICO”
- 出售“OUSD (Open USD)”- 虚假稳定币
- 出售“Jane Street ICO”
- 承诺“7000% 现金返还”
- 使用深奥的语言(“temporal loops”、“quantum temporality”)
**证据:**
```
[2026-07-01 07:23:54] 🏥 ALERTA SALUD
📢 Canal: @QuantumStellarInitiative
📝 Contenido: CHRONOCRYPT ICO GF Wallet: GAFQBCA4JSNKGQU5QL5RPIKHI5LOPKU2QSVR7G4AR3J7B5DV35ZUWOEC
```
**战术分析:**
- **TTPs:** 传销骗局、社会工程学、心理操纵
- **目标:** 搜刮投资者的资金
- **影响:** 中 - 受害者的经济损失
### 类别 6:宣传者 / 虚假信息制造者
*散布谎言并操纵公众舆论。*
| # | 组织 | 频道 | 国家 | 级别 |
|---|-------|-------|------|-------|
| 18 | CyberYozh | @cyberyozh_official | 俄罗斯 | 🔴 高 |
| 19 | Sharp33377 | @sharp33377 | 俄罗斯 | 🟡 中 |
#### 6.1 CyberYozh (@cyberyozh_official)
| 属性 | 详情 |
|----------|---------|
| **分类** | 📰 宣传者 |
| **角色** | 虚假信息散布与 hacker 培训 |
| **国家** | 俄罗斯 |
| **动机** | 地缘政治,支持俄罗斯 |
| **活动级别** | 🔴 高 |
**历史记录:**
- 网络安全和培训新闻频道
- 推广 hacking 课程 (CyberYozh Academy)
- 散布亲俄宣传
- 报道乌克兰 hacker 的攻击
**已记录的活动:**
- “乌克兰黑客攻击了阿拉布加的俄罗斯无人机工厂”(虚假信息)
- 推广 hacking 课程
- 网络战分析
- 关于 AI 和网络安全的新闻
**证据:**
```
[2026-06-24 14:01:37] ⚠ ALERTA ATAQUE
📢 Canal: @cyberyozh_official
📝 Contenido: 🔥 CyberWeekend: Día 3. Hackeo de software y hardware
[2026-06-29 10:30:02] ⚠ ALERTA
📢 Canal: @cyberyozh_official
📝 Contenido: El Pentágono se ha rendido: Estados Unidos está devolviendo al servicio modelos peligrosos de IA de Anthropic.
```
**战术分析:**
- **TTPs:** 虚假信息、宣传、hacker 培训
- **目标:** 地缘政治影响、扩大同情者基础
- **影响:** 高 - 操纵公众舆论
### 类别 7:真正的黑客行动主义者
*不以营利为目的,攻击政治/象征性目标。*
| # | 组织 | 频道 | 国家 | 级别 |
|---|-------|-------|------|-------|
| 20 | 404Crew / Cyber Crew | @cybercrewagain | 国际 | 🟠 高 |
| 21 | Anonymous Switzerland | @Anonymous_Switzerland | 瑞士 | 🟡 中 |
#### 7.1 404Crew / Cyber Crew (@cybercrewagain)
| 属性 | 详情 |
|----------|---------|
| **分类** | ✊ 黑客行动主义者 |
| **角色** | 针对以色列和德国的政治抗议 |
| **国家** | 国际 |
| **动机** | 反犹太复国主义、反建制 |
| **活动级别** | 🟠 高 |
**已记录的活动:**
- #OpIsrael - 泄露以色列大学的数据
- #OpGermany - 德国网站 defacement
- 与 0wnzs3c 和 Infernalis X 合作
**证据:**
```
[2026-06-27 22:51:29] ⚠ ALERTA ATAQUE
📢 Canal: @cybercrewagain
📝 Contenido: What is this list? (Brief Summary) 🇮🇱his list, List of Israeli academics (professors and doctors) working at various universities in Israel Leaked by Infernalis X 404Crew Cyber Team #OpIsrael
[2026-06-30 21:58:08] ⚠ ALERTA ATAQUE
📢 Canal: @cybercrewagain
📝 Contenido: ‼ 🚨 ffb.de : A Germany-based mutual fund and financial services site 404Crew Hacked by Cyber Team and Alliances 🇩🇪OpGermany
```
**战术分析:**
- **TTPs:** 数据泄露、defacement
- **目标:** 政治抗议、曝光度
- **影响:** 中 - 对目标造成声誉损害
### 类别 8:有组织犯罪 (#OPTHAILAND - 柬埔寨联盟)
*这些组织在 #OpThailand 的保护伞下运作。他们是民族主义和利益的混合体。*
| # | 组织 | 频道 | 国家 | 级别 |
|---|-------|-------|------|-------|
| 22 | AnaJak_NX | @AnaJak_NX | 柬埔寨 | 🔴 严重 |
| 23 | NXBBSEC | @NXBBSEC | 柬埔寨 | 🔴 高 |
| 24 | EKIA_DOM | @EKIA_DOM | 柬埔寨 | 🔴 高 |
| 25 | EXADOS | @EXADOS | 柬埔寨 | 🟠 高 |
| 26 | Nexusec | @Nexusec | 柬埔寨 | 🟠 高 |
| 27 | ZxS3C | @ZxS3C | 柬埔寨 | 🟠 高 |
| 28 | HOUR_CYBER | @HOUR_CYBER | 柬埔寨 | 🟠 高 |
| 29 | SEXDAN | @SEXDAN | 柬埔寨 | 🟡 中 |
| 30 | Sthabnikddos | @Sthabnikddos | 柬埔寨 | 🟡 中 |
| 31 | H3C4KEDZ | @H3C4KEDZ | 柬埔寨 | 🟡 中 |
| 32 | DarkStarNx | @DarkStarNx | 柬埔寨 | 🟡 中 |
| 33 | BEN10 | @BEN10 | 柬埔寨 | 🟡 中 |
| 34 | ZAHERINFINITY | @ZAHERINFINITY | 柬埔寨 | 🟡 中 |
| 35 | Z3R0S3CC | @Z3R0S3CC | 柬埔寨 | 🟡 中 |
| 36 | ZxS3xx | @ZxS3xx | 柬埔寨 | 🟠 高 |
#### 8.1 AnaJak_NX (@AnaJak_NX)
| 属性 | 详情 |
|----------|---------|
| **分类** | 💀 有组织犯罪 / 民族主义者 |
| **角色** | 领导者和指挥控制 |
| **国家** | 柬埔寨 |
| **动机** | 民族主义 + 知名度 |
| **活动级别** | 🔴 严重 |
**历史记录:**
- 出现于 2025 年
- 在 2026 年巩固了联盟领导地位
- 以“CambodiaberArmy”名义运作
**已记录的活动:**
- 泄露警察系统的凭据
- 协调攻击
- 发布泄露的数据
**证据:**
```
[2026-06-30 12:52:44] 💀 ALERTA BOTNET
📢 Canal: @AnaJak_NX
📝 Contenido: URL: https://prs-uat.police.go.th/ Hacker Group #CambodiaCyberArmy #NXBSEC_Leader #OpThailand
```
**战术分析:**
- **TTPs:** Doxing、数据泄露、协调攻击
- **目标:** 诋毁泰国,知名度
- **影响:** 严重 - 破坏警察基础设施
#### 8.2 NXBBSEC (@NXBBSEC)
| 属性 | 详情 |
|----------|---------|
| **分类** | 💀 有组织犯罪 / 民族主义者 |
| **角色** | 主要执行者 |
| **国家** | 柬埔寨 |
| **动机** | 民族主义 + 知名度 |
| **活动级别** | 🔴 高 |
**已记录的活动:**
- “We Not Surrender. We Fighting OpThailand”
- 自称“AnonSecKh 的领导者”
- 发布教育系统的凭据
**证据:**
```
[2026-06-30 04:39:45] 💀 ALERTA BOTNET
📢 Canal: @AnaJak_NX
📝 Contenido: Hacker Group #CambodiaCyberArmy #NXBSEC_Leader #OpThailand
```
#### 8.3 EKIA_DOM (@EKIA_DOM)
| 属性 | 详情 |
|----------|---------|
| **分类** | 💀 有组织犯罪 |
| **角色** | 中继和增援 |
| **国家** | 柬埔寨 |
| **动机** | 民族主义 + 知名度 |
| **活动级别** | 🔴 高 |
**已记录的活动:**
- 转发 AnaJak_NX 的内容
- 发布 DDoS 攻击和 defacement
**证据:**
```
[2026-06-23 08:56:24] 💀 ALERTA BOTNET
📢 Canal: @EKIA_DOM
📝 Contenido: 🐈⬛inistry of Tourism and Sports (MOTS) of the Government of Thailand. 🔴 Down
```
### 类别 9:其他(未分类)
| # | 组织 | 频道 | 国家 | 级别 |
|---|-------|-------|------|-------|
| 37 | Lun4risSec | @Lun4risSec | 阿尔及利亚 | 🟡 中 |
| 38 | BoatOfLunarisSec | @BoatOfLunarisSec | 阿尔及利亚 | 🟡 中 |
| 39 | UserSec | @usersecc | 国际 | 🟡 中 |
| 40 | KillMillk | @KillMillk | 国际 | 🟡 低 |
| 41 | Spid3rCrypt | @Spid3rCrypt | 国际 | 🟡 低 |
| 42 | cr2ck4u | @cr2ck4u | 国际 | 🟡 低 |
| 43 | ITundSicherheit | @ITundSicherheit | 德国 | 🟡 中 |
| 44 | TAndroidBeta | @TAndroidBeta | 国际 | 🟡 低 |
| 45 | NIKK_BOSS | @NIKK_BOSS | 国际 | 🟡 中 |
| 46 | usrsc_reservs | @usrsc_reservs | 国际 | 🟡 中 |
## 第 3 部分:#OPTHAILAND 行动分析
### 3.1 事件时间线
| 阶段 | 时期 | 活动 | 证据 |
|------|---------|-----------|-----------|
| **第 1 阶段** | 2026年4月-6月 | DDoS 攻击和网站 defacement | 已记录的 defacement |
| **第 2 阶段** | 2026年6月 | 在 #OpThailand 下进行协调 | 使用 #OpThailand 标签 |
| **第 3 阶段** | 2026年6月下旬 | 大规模凭据泄露 | 在 @AnaJak_NX 上发布凭据 |
| **第 4 阶段** | 2026年7月 | 警察基础设施被攻陷 | prs-uat.police.go.th 的凭据 |
### 3.2 关系图
```
┌─────────────────────────────────┐
│ AnaJak_NX │
│ (Mando y Control) │
└──────────────┬──────────────────┘
│
┌──────────────────────┼──────────────────────┐
│ │ │
┌───────▼────────┐ ┌───────▼────────┐ ┌───────▼────────┐
│ EKIA_DOM │ │ ZxS3xx │ │ NXBBSEC │
│ (Repetidor) │ │ (Repetidor) │ │ (Ejecutor) │
└───────┬────────┘ └───────┬────────┘ └───────┬────────┘
│ │ │
└──────────────────────┼──────────────────────┘
│
┌──────────────────────┼──────────────────────┐
│ │ │
┌───────▼────────┐ ┌───────▼────────┐ ┌───────▼────────┐
│ EXADOS │ │ Nexusec │ │ HOUR_CYBER │
│ (Defacement) │ │ (Doxing) │ │ (DDoS) │
└────────────────┘ └────────────────┘ └────────────────┘
```
### 3.3 战术、技术和程序
#### 3.3.1 凭据泄露 (T1589 - Credential Dumping)
**描述:** 大规模发布系统访问凭据。
**已记录示例(已匿名化):**
| 系统 | 泄露的用户名 | 泄露的密码 |
|---------|------------------|-------------------|
| `mis.nrru.ac.th` | 6531**** | mm****** |
| `giftcard.payme.in.th` | nari*******@gmail.com | 0817******* |
| `school.vss.ac.th` | 1939********** | 205** |
| `prs-uat.police.go.th` | [已涂黑] | [已涂黑] |
#### 3.3.2 网页篡改 (T1491 - Defacement)
**描述:** 篡改官方网站的页面。
| 目标 | 作者 | 日期 |
|----------|-------|-------|
| `www.song.ac.th/ANAJAKNX.html` | HOUR_CYBER | 25/06/2026 |
| `www.wangang.go.th` | EXA-DOS | 28/06/2026 |
| `prapawangang.com` | EXA-DOS | 28/06/2026 |
#### 3.3.3 DDoS 攻击 (T1498 - Network Denial of Service)
**描述:** 使服务器饱和以中断服务。
| 目标 | 验证 | 日期 |
|----------|--------------|-------|
| 泰国旅游与体育部 | check-host.net/check-report/42a02ccdkf85 | 23/06/2026 |
## 第 4 部分:妥协指标
### 4.1 被攻陷的域名和 URL
| 域名 | 状态 | 妥协类型 |
|---------|--------|-------------------|
| `mis.nrru.ac.th` | 已攻陷 | 凭据泄露 |
| `giftcard.payme.in.th` | 已攻陷 | 凭据泄露 |
| `school.vss.ac.th` | 已攻陷 | 凭据泄露 |
| `prs-uat.police.go.th` | 已攻陷 | 凭据泄露 |
| `tpcc.police.go.th` | 已攻陷 | 凭据泄露 |
| `www.song.ac.th` | 已攻陷 | Defacement |
| `www.wangang.go.th` | 已攻陷 | Defacement |
| `prapawangang.com` | 已攻陷 | Defacement |
### 4.2 威胁 Telegram 频道
| 频道 | 角色 | 类型 | 状态 |
|-------|-----|------|--------|
| `@AnaJak_NX` | #OpThailand 领导者 | 💀 犯罪分子 | 活跃 |
| `@EKIA_DOM` | #OpThailand 中继者 | 💀 犯罪分子 | 活跃 |
| `@ZxS3xx` | #OpThailand 中继者 | 💀 犯罪分子 | 活跃 |
| `@DutyFreeForum` | 犯罪论坛 | 💰 网络罪犯 | 活跃 |
| `@DataPremium_SSSO` | 黑市 | 💰 网络罪犯 | 活跃 |
| `@itarmyofrussianews` | 亲俄 | 🕵️ 间谍 | 活跃 |
| `@cyberyozh_official` | 宣传 | 📰 宣传者 | 活跃 |
| `@cybercrewagain` | 黑客行动主义者 | ✊ 黑客行动主义者 | 活跃 |
## 第 5 部分:建议与结论
### 5.1 泰国应采取的紧急行动
1. **通知所有受影响的实体**有关凭据泄露的情况。
2. **强制更改**所有受损系统的密码。
3. **在所有关键系统上实施双因素认证 (2FA)**。
4. **建立主动监控**以检测未经授权的访问。
5. **审核**受损系统上的访问日志。
### 5.2 短期行动
1. **加强国际合作**,与国际刑警组织和邻国合作。
2. **开展模拟演练**,以应对 DDoS 攻击和数据泄露。
3. **培训人员**识别社会工程学攻击。
4. **在整个公共行政系统中实施强密码策略**。
### 5.3 长期行动
1. **制定国家网络安全战略。**
2. **建立专门的计算机安全事件响应团队 (CSIRT)。**
3. **加强网络安全领域的公私合作**。
4. **投资于威胁情报**和 OSINT 分析。
### 5.4 结论
**威胁摘要:**
| 类别 | 数量 | 风险级别 |
|-----------|----------|-----------------|
| 💰 网络罪犯 | 7 | 🔴 严重 |
| 🔓 CRACKERS | 3 | 🔴 高 |
| ☠️ 网络恐怖分子 | 2 | 🔴 严重 |
| 🕵️ 间谍 | 3 | 🔴 高 |
| 🎭 诈骗分子 | 2 | 🟠 中 |
| 📰 宣传者 | 2 | 🟠 中 |
| ✊ 黑客行动主义者 | 2 | 🟡 中 |
| 💀 有组织犯罪 | 15 | 🔴 严重 |
## 附件
### 附件 A:术语表
| 术语 | 定义 |
|---------|------------|
| **Blackhat** | 出于恶意或盈利目的运作的 cracker |
| **Defacement** | 未经授权更改网站内容 |
| **DDoS** | 分布式拒绝服务攻击 |
| **Doxing** | 未经授权发布个人信息 |
| **ICS/SCADA** | 工业控制系统 |
| **OSINT** | 开源情报 |
| **TTP** | 战术、技术和程序 |
**完整档案结束**
🦅 **Condor2026 - SpectrumSecurity** - **紫队 (PURPLETEAM)** - **防御** - **停止网络攻击** - **预防** - **新闻业** - **威胁情报** 🦅
标签:威胁情报, 开发者工具, 网络战, 黑客行动主义