Condor2026/Andromeda-analisi-grupos-ciber-delictivos

GitHub: Condor2026/Andromeda-analisi-grupos-ciber-delictivos

一份基于OSINT的网络威胁情报档案,系统分析了2026年「#OpThailand」行动期间46个犯罪和黑客行动主义组织的活动与TTP。

Stars: 0 | Forks: 0

Typing animation

# 🦅 Condor2026 – 网络威胁情报档案 | **#OpThailand 2026** | **OSINT 分析** | **威胁情报** | **作者:** Condor2026 **时期:** 2026-06-22 至 2026-07-02 **来源:** 40+ 个 Telegram 频道 | ~7,177 个事件 **分类:** [TLP:CLEAR] – 公开调查 # 网络威胁情报档案 - OPTHAILAND 2026 **分析时期:** 2026-06-22 至 2026-07-02 **监控来源:** 40+ 个 Telegram 频道,~7,177 个事件 **分类:** [TLP:CLEAR] - 通过公开来源和 OSINT 技术进行的公开调查。 **作者:** Condor2026 **目的:** 网络安全、防御和预防领域的学术研究! ## 第 1 部分:简介与背景 ### 1.1 执行摘要 监控期内揭示了多前线上的**密集网络活动**。 已识别出**46 个犯罪和黑客行动主义组织**在数字生态系统中运作,其动机和复杂程度各不相同。 **主要发现:** | 发现 | 描述 | |----------|-------------| | **主要威胁** | #OpThailand - 针对泰国的协同攻击行动 | | **涉及组织** | 14 个组织参与了 #OpThailand 联盟 | | **行为者总数** | 已识别出 46 个组织 | | **来源国** | 柬埔寨、俄罗斯、印度尼西亚、亚美尼亚、阿尔及利亚、国际 | | **动机** | 利润、民族主义、地缘政治、知名度 | | **策略** | Defacement、DDoS、凭据泄露、doxing、诈骗、间谍活动 | ### 1.2 分析方法 **信息来源:** - 威胁组织的公开 Telegram 频道 - 网络犯罪论坛 (DutyFreeForum、VoidNet、XSSF) - 黑市 (DataPremium_SSSO、blackmrkt1337ch) - 事件交叉验证 **分析过程:** 1. **识别:** 搜索并跟踪相关频道 2. **监控:** 在分析期间捕获消息 3. **分类:** 按行为者类型和活动进行分类 4. **验证:** 在多个来源之间交叉核对信息 5. **匿名化:** 保护敏感的个人数据 **局限性:** - 某些行为者可能存在虚假信息 - 覆盖不完整(可能存在未被监控的频道) - 某些攻击的验证有限 ### 1.3 黑客行动主义的历史背景 #### 1.3.1 东南亚黑客行动主义的起源 东南亚的黑客行动主义深深根植于民族主义冲突和领土争端中。黑客组织将网络空间作为战场,以此表达爱国主义并攻击对手。 **历史案例:** - **1998年:** 中国黑客在针对华人社区的骚乱后攻击印度尼西亚 - **2010-2012年:** 中日因领土争端引发的网络冲突 - **2015-2018年:** 东南亚民族主义黑客行动主义的兴起 #### 1.3.2 柬泰冲突 柬埔寨和泰国之间因领土争端引发的紧张局势已经蔓延至网络空间。自 2026 年 4 月起,记录了柬埔寨起源的组织对泰国政府网站的攻击。 **网络冲突的里程碑:** - **2026年4月:** 首次记录的攻击 - **2026年6月:** 泰国警方发布逮捕令 - **2026年6月下旬:** 升级为 #OpThailand - **2026年7月:** 警察基础设施被攻陷 #### 1.3.3 作为物理冲突延伸的网络战 俄罗斯和乌克兰之间的冲突催化了黑客行动主义的演变。网络空间已经成为国家与非国家行为者合作的战场。 **网络战的演变:** - **2014年:** 俄罗斯和乌克兰之间的首次网络攻击 - **2022年:** 志愿者“网络军队”的建立 - **2024-2026年:** 行动的专业化与升级 #### 1.3.4 当前的生态系统 如今,该生态系统变得更加复杂。黑客行动主义和有组织犯罪之间的界限变得模糊。最初作为黑客行动主义的组织已经演变为按需行事的网络犯罪行动。 **关键因素:** - 组织的专业化 - “犯罪即服务” 的商业模式 - 犯罪组织与黑客行动主义者之间的合作 - 人工智能和自动化的使用 ## 第 2 部分:组织档案(按类型分类) ### 类别 1:有组织的网络罪犯 (BLACKHATS) *以经济利益为目的运作。出售数据、工具、访问权限和服务。* | # | 组织 | 频道 | 国家 | 级别 | |---|-------|-------|------|-------| | 1 | DutyFreeForum | @DutyFreeForum | 国际 | 🔴 严重 | | 2 | DataPremium_SSSO | @DataPremium_SSSO | 国际 | 🔴 严重 | | 3 | DarkStormTeam | @Darkstormteam22 | 国际 | 🔴 严重 | | 4 | CoupTeam | @CoupTeam | 国际 | 🔴 严重 | | 5 | BotnetKingdom | @BotnetKingdom | 国际 | 🔴 严重 | | 6 | blackmrkt1337ch | @blackmrkt1337ch | 国际 | 🔴 严重 | | 7 | VoidNet | @hackers_void | 国际 | 🟠 高 | #### 1.1 DutyFreeForum (@DutyFreeForum) | 属性 | 详情 | |----------|---------| | **分类** | 💰 网络罪犯(犯罪论坛) | | **角色** | 犯罪教育与协调平台 | | **国家** | 国际(以俄语运作) | | **动机** | 经济利益 | | **活动级别** | 🔴 严重 | **历史记录:** - 成立为网络犯罪论坛 - 发布有关 hacking、phishing 和漏洞利用的详细指南 - 被 IT Army of Russia 用于协调行动 - 教育新的犯罪分子 **已记录的活动:** - 关于如何利用 npm 植入 backdoor 的指南 - 关于如何使用 Cloudflare 进行 phishing 的指南 - 创建用于匿名行动的“amnesia”操作系统 - 分析 Android 银行恶意软件 **证据:** ``` [2026-06-27 19:07:00] 🏥 ALERTA SALUD 📢 Canal: @DutyFreeForum 📝 Contenido: Creamos nuestro propio sistema de amnesia (live-os personalizado) con VLESS+REALITY y killswitch bajo el capó [2026-07-02 01:46:22] ⚠ ALERTA ATAQUE 📢 Canal: @DutyFreeForum 📝 Contenido: [npm dropper] paquetes de puerta trasera ``` **战术分析:** - **TTPs:** 犯罪教育、发布技术指南、协调行动 - **目标:** 培训新的犯罪分子,扩大犯罪生态系统 - **影响:** 高 - 促使新的行为者进入网络犯罪领域 #### 1.2 DataPremium_SSSO (@DataPremium_SSSO) | 属性 | 详情 | |----------|---------| | **分类** | 💰 网络罪犯(黑市) | | **角色** | 出售数据库、访问权限和机密文件 | | **国家** | 国际 | | **动机** | 经济利益 | | **活动级别** | 🔴 严重 | **历史记录:** - 最活跃的黑市之一 - 出售政府、企业和军方的数据 - 泄露了北约 (OTAN) 的武器文件 **已记录的活动:** - 出售乌克兰国防部数据库(198 GB,$5,000) - 出售 Bushberry 装甲车的技术文档 - 出售 Leopard 2 A6 坦克的技术文档 - 出售对 MilChat(乌克兰军事系统)的访问权限 - 出售防空无人机测试材料 - 出售企业和政府数据库 **证据:** ``` [2026-06-24] 🔨 Lote: 26.9.24.7 📢 Canal: @DataPremium_SSSO 📝 Contenido: documentación técnica completa Bushmaster es un vehículo blindado de ruedas australiano [2026-06-24] 🔨 Lote: 15.2.25.31 📢 Canal: @DataPremium_SSSO 📝 Contenido: Materiales exclusivos con pruebas de los últimos drones antiaéreos y vehículos autopropulsados no tripulados ``` **战术分析:** - **TTPs:** 数据出售、工业间谍活动、系统访问 - **目标:** 经济利益、军事间谍活动 - **影响:** 严重 - 泄露北约军事文件 #### 1.3 DarkStormTeam (@Darkstormteam22) | 属性 | 详情 | |----------|---------| | **分类** | 💰 网络罪犯(服务) | | **角色** | 账户解锁和资料“加固” | | **国家** | 国际 | | **动机** | 经济利益 | | **活动级别** | 🟠 高 | **历史记录:** - 以“Lime Media”名义运作 - 提供 Instagram 解锁服务 - 提供账户“高级保护” - 在平台内部拥有人脉 **已记录的活动:** - 在 0-24 小时内解锁 Instagram 账户 - 从 $1,000/月起提供高级账户“加固” - 每月账户监控 **证据:** ``` [2026-06-26 23:49:17] ⚠ ALERTA ATAQUE 📢 Canal: @Dark_Storm_Team 📝 Contenido: 🚀 0–10 Day Unbans Are Coming Through! ✅ 0–10 Day TAT available. [2026-07-02 01:53:55] ⚠ ALERTA ATAQUE 📢 Canal: @Dark_Storm_Team 📝 Contenido: 🛡 Instagram Account Shielding — Premium Protection Starting from $1XXX/month ``` **战术分析:** - **TTPs:** 社会工程学、平台内部人脉 - **目标:** 利润、获取高调账户的访问权限 - **影响:** 中 - 影响社交媒体用户 #### 1.4 CoupTeam (@CoupTeam) | 属性 | 详情 | |----------|---------| | **分类** | 💰 网络罪犯(攻击工具) | | **角色** | 出售 hacking 工具和 botnet | | **国家** | 国际 | | **动机** | 经济利益 | | **活动级别** | 🟠 高 | **历史记录:** - 以“BotnetKingdom”名义运作 - 出售定制的 DDoS 脚本 - 出售私人 botnet (C2/P2P) - 出售 hacking 工具 (0-day/N-day) - 出售银行日志和 webshell **已记录的活动:** - 对 Instagram 的 DDoS 攻击(300 秒,10 倍并发) - 出售 hacking 工具 **证据:** ``` [2026-06-24 18:15:31] 💀 ALERTA BOTNET 📢 Canal: @CoupTeam 📝 Contenido: ⭐ Target: https://instagram.com (Down FUCKED) ⭐ Seconds: 300 🤩 Concurrents: 10x 💰 FOR SALE 💰 💀 Custom DDoS Scripts (L3-L4-L7) 💀 Private Botnet (C2/P2P) 💀 Hacking Tools (0-day/N-day) ``` **战术分析:** - **TTPs:** 出售攻击工具、运营 botnet - **目标:** 利润、为其他犯罪分子提供基础设施 - **影响:** 高 - 增强其他组织的攻击能力 #### 1.5 blackmrkt1337ch (@blackmrkt1337ch) | 属性 | 详情 | |----------|---------| | **分类** | 💰 网络罪犯(市场) | | **角色** | 出售 webshell 访问权限和凭据 | | **国家** | 国际 | | **动机** | 经济利益 | | **活动级别** | 🟠 高 | **已记录的活动:** - 出售 webshell 访问权限 - 发布泄露的凭据 - 出售服务器访问权限 **证据:** ``` [2026-06-29 16:12:20] ⚠ ALERTA ATAQUE 📢 Canal: @blackmrkt1337ch 📝 Contenido: FREE WP LOGINN!! https://formation-blogueur-pro.com/wp-login.php|pie***y23**@gmail.com|t*ere*y ``` **战术分析:** - **TTPs:** 发布凭据、出售访问权限 - **目标:** 利润、系统访问 - **影响:** 高 - 危及网站和系统安全 #### 1.6 VoidNet (@hackers_void) | 属性 | 详情 | |----------|---------| | **分类** | 💰 网络罪犯(论坛) | | **角色** | 无审查的 hacker 论坛 | | **国家** | 国际 | | **动机** | 利润/社区 | | **活动级别** | 🟠 高 | **历史记录:** - 于 2026 年 7 月上线 - 在公共 IP 和 Tor 上运作 - 承诺“无日志,无审查” - 吸引犯罪分子和 hacker **已记录的活动:** - 建立完全加密的论坛 - 讨论漏洞、OSINT、网络、匿名化 - 发布病毒分析指南 - 24 小时内有 36 名注册用户 **证据:** ``` [2026-07-01 11:48:15] ⚠ ALERTA ATAQUE 📢 Canal: @hackers_void 📝 Contenido: VoidNet es un foro de hackers de nueva generación. Cifrado completo. Sin registros. Sin censura. Enlace: http://178.72.184.43 ``` **战术分析:** - **TTPs:** 建立论坛、讨论攻击技术 - **目标:** 犯罪社区、协调 - **影响:** 高 - 为犯罪分子创建安全空间 ### 类别 2:CRACKERS(为了知名度/利润而破坏系统) *专门从事破坏系统、窃取凭据和 defacement。* | # | 组织 | 频道 | 国家 | 级别 | |---|-------|-------|------|-------| | 8 | paskocyberrexorr | @paskocyberrexorr | 印度尼西亚 | 🔴 高 | | 9 | Mr.PIMZZZXploit | @Pimzganteng | 印度尼西亚 | 🔴 高 | | 10 | XSSF Forum | @xssf_forum | 俄罗斯 | 🟠 高 | #### 2.1 paskocyberrexorr (@paskocyberrexorr) | 属性 | 详情 | |----------|---------| | **分类** | 🔓 CRACKER | | **角色** | Defacement 和数据泄露 | | **国家** | 印度尼西亚 | | **动机** | 知名度和利润 | | **活动级别** | 🔴 高 | **历史记录:** - 印度尼西亚最活跃的 cracker 之一 - 与“Mr.PIMZZZXploit”合作 - 对网站进行大规模 defacement - 出售 webshell 访问权限 **已记录的活动:** - 对数十个教育和政府网站进行 def - 发布凭据 - 出售 webshell 访问权限 (.edu, .com, .org) - 发布个人数据 (NIK、姓名、地址) - 对印度尼西亚、印度、巴西、厄瓜多尔的网站进行 defacement **证据:** ``` [2026-06-24 19:49:46] ⚠ ALERTA ATAQUE 📢 Canal: @paskocyberrexorr 📝 Contenido: Hacked By Mr.PIMZZZXploit Site : https://pay.freelancingbyrifat.top [2026-06-26 12:35:53] ⚠ ALERTA ATAQUE 📢 Canal: @paskocyberrexorr 📝 Contenido: NIK: 3204***** Nama: TAUFIK HIDAYAT Tgl Lahir: 13 Juni 1996 ``` **战术分析:** - **TTPs:** Defacement、doxing、出售访问权限 - **目标:** 知名度、利润、破坏网站 - **影响:** 高 - 大规模破坏网站 #### 2.2 Mr.PIMZZZXploit (@Pimzganteng) | 属性 | 详情 | |----------|---------| | **分类** | 🔓 CRACKER | | **角色** | Defacement 和出售访问权限 | | **国家** | 印度尼西亚 | | **动机** | 知名度和利润 | | **活动级别** | 🔴 高 | **历史记录:** - 与 paskocyberrexorr 有关联 - 专门从事网站 defacement - 出售 webshell 访问权限 **已记录的活动:** - 对印度尼西亚、印度、巴西、厄瓜多尔的网站进行 defacement - 出售多个国家的 webshell 访问权限 **证据:** ``` [2026-06-24 19:53:34] ⚠ ALERTA ATAQUE 📢 Canal: @paskocyberrexorr 📝 Contenido: Hacked By Mr.PIMZZZXploit Site : https://classificado.criacaodesitesembh.com.br ``` **战术分析:** - **TTPs:** Defacement、漏洞利用 - **目标:** 知名度、利润 - **影响:** 高 - 破坏网站 ### 类别 3:网络恐怖分子 *攻击民用基础设施以造成破坏和恐慌。* | # | 组织 | 频道 | 国家 | 级别 | |---|-------|-------|------|-------| | 11 | Armenian Code | @armeniancode_eng | 亚美尼亚 | 🟠 高 | | 12 | Sector 16 (RUSCAD) | 未识别 | 俄罗斯 | 🔴 严重 | #### 3.1 Armenian Code (@armeniancode_eng) | 属性 | 详情 | |----------|---------| | **分类** | ☠️ 网络恐怖分子 | | **角色** | 攻击工业基础设施 | | **国家** | 亚美尼亚 | | **动机** | 民族主义,对土耳其的历史复仇 | | **活动级别** | 🟠 高 | **历史记录:** - 亚美尼亚 hacker 组织 - 攻击土耳其民用基础设施 - 对泵站造成了物理破坏 **已记录的活动:** - 攻陷土耳其泵站的自动化系统 - 操纵发动机负载和截止阀 - 在一家土耳其公司引发洪水 - 操纵灌溉系统以耗尽资源 **证据:** ``` [2026-06-24 15:16:19] ⚠ ALERTA ATAQUE 📢 Canal: @armeniancode_eng 📝 Contenido: We broke into the pumping station's automation systems, conducted an analysis, and selected the best arrangement of motor loads and shut-off valves for the Turks. Soon there will be a flood at one of their enterprises. [2026-07-01 12:00:55] ⚠ ALERTA ATAQUE 📢 Canal: @armeniancode_eng 📝 Contenido: We have received the opportunity to manage the cyclical operation of equipment: thanks to our intervention, the irrigation system will not be activated every twenty minutes, but will work until the resources are completely exhausted. ``` **战术分析:** - **TTPs:** 攻击 ICS/SCADA 系统、操纵基础设施 - **目标:** 造成物理破坏、制造恐慌 - **影响:** 严重 - 破坏民用基础设施 #### 3.2 Sector 16 (RUSCAD) | 属性 | 详情 | |----------|---------| | **分类** | ☠️ 网络恐怖分子 / 间谍 | | **角色** | 攻击美国关键基础设施 | | **国家** | 俄罗斯 | | **动机** | 地缘政治 | | **活动级别** | 🔴 严重 | **历史记录:** - 从 Cyber Army of Russia Reborn (CARR) 分裂出来 - 攻击工业控制系统 (ICS/SCADA) - 曾攻击德克萨斯州的石油和天然气生产工厂 - 受到美国国务院 1000 万美元的悬赏 **已记录的活动:** - 攻击美国关键基础设施 - 与 OverFlame 和 Z-Pentest 合作 **战术分析:** - **TTPs:** 攻击 ICS/SCADA、工业间谍 - **目标:** 破坏基础设施、间谍活动 - **影响:** 严重 - 美国国家安全 ### 类别 4:间谍 / 国家情报 *为国家效力,窃取文件并进行间谍活动。* | # | 组织 | 频道 | 国家 | 级别 | |---|-------|-------|------|-------| | 13 | IT Army of Russia | @itarmyofrussianews | 俄罗斯 | 🔴 严重 | | 14 | NoName057(16) | @NoName057(16) | 俄罗斯 | 🟠 高 | | 15 | MatrixMaps | @MatrixMaps | 俄罗斯 | 🟠 高 | #### 4.1 IT Army of Russia (@itarmyofrussianews) | 属性 | 详情 | |----------|---------| | **分类** | 🕵️ 间谍 / 网络战 | | **角色** | 亲俄网络行动 | | **国家** | 俄罗斯 | | **动机** | 支持俄罗斯军事行动 | | **活动级别** | 🔴 严重 | **历史记录:** - 出现于 2025 年 3 月下旬 - 与 DutyFreeForum 论坛协调行动 - 专注于 DDoS 和数据泄露 **已记录的活动:** - 对 WhiteBit(加密货币交易所)进行 DDoS 攻击 - 泄露 Ukrposhta 数据库(172 GB,120 万条记录) - 与其他亲俄组织协调 **证据:** ``` [2026-06-24 20:18:12] 🏥 ALERTA SALUD 📢 Canal: @itarmyofrussianews 📝 Contenido: Durante dos días hemos estado interrumpiendo la disponibilidad del intercambio de cifrado proucraniano WhiteBit. [2026-06-24 23:17:05] ⚠ ALERTA ATAQUE 📢 Canal: @itarmyofrussianews 📝 Contenido: Ukrposhta: piratería de bases de datos y compromiso del servidor. auth_db pesa más de 172 GB y contiene más de 1,2 millones de registros de usuarios. ``` **战术分析:** - **TTPs:** DDoS、数据泄露、协调行动 - **目标:** 支持俄罗斯军事行动 - **影响:** 高 - 破坏乌克兰基础设施 #### 4.2 MatrixMaps (@MatrixMaps) | 属性 | 详情 | |----------|---------| | **分类** | 🕵️ 军事情报 | | **角色** | 绘制乌克兰基础设施地图 | | **国家** | 俄罗斯 | | **动机** | 支持军事行动 | | **活动级别** | 🟠 高 | **已记录的活动:** - 乌克兰军工综合体的动态地图 - 实时无人机跟踪 - 乌克兰战斗仓库(>540 个目标) - 关键基础设施(桥梁、铁路、变电站) - 防空和雷达系统 **证据:** ``` [2026-06-24] 📄 Canal creado 📢 Canal: @MatrixMaps 📝 Contenido: Matrix es una plataforma en línea cerrada para monitoreo y análisis de datos en profundidad para la defensa. El módulo clave del sistema es un mapa dinámico de objetos del complejo militar-industrial de Ucrania. ``` **战术分析:** - **TTPs:** OSINT、基础设施映射、情报分析 - **目标:** 支持军事行动 - **影响:** 高 - 为军事攻击提供情报 ### 类别 5:诈骗分子 *欺骗受害者以窃取金钱或个人数据。* | # | 组织 | 频道 | 国家 | 级别 | |---|-------|-------|------|-------| | 16 | QuantumStellarInitiative | @QuantumStellarInitiative | 国际 | 🟠 高 | | 17 | Lime Media | @xx_Lime_store_xx | 国际 | 🟡 中 | #### 5.1 QuantumStellarInitiative (@QuantumStellarInitiative) | 属性 | 详情 | |----------|---------| | **分类** | 🎭 诈骗分子(加密货币诈骗) | | **角色** | 出售虚假 token 和传销骗局 | | **国家** | 国际 | | **动机** | 经济利益 | | **活动级别** | 🟠 高 | **历史记录:** - 加密货币诈骗频道 - 出售虚假的“ICO”(首次代币发行) - 承诺天价回报(7000% 现金返还) - 使用深奥和伪科学的术语 **已记录的活动:** - 出售“Chronocrypt Seed ICO” - 出售“OUSD (Open USD)”- 虚假稳定币 - 出售“Jane Street ICO” - 承诺“7000% 现金返还” - 使用深奥的语言(“temporal loops”、“quantum temporality”) **证据:** ``` [2026-07-01 07:23:54] 🏥 ALERTA SALUD 📢 Canal: @QuantumStellarInitiative 📝 Contenido: CHRONOCRYPT ICO GF Wallet: GAFQBCA4JSNKGQU5QL5RPIKHI5LOPKU2QSVR7G4AR3J7B5DV35ZUWOEC ``` **战术分析:** - **TTPs:** 传销骗局、社会工程学、心理操纵 - **目标:** 搜刮投资者的资金 - **影响:** 中 - 受害者的经济损失 ### 类别 6:宣传者 / 虚假信息制造者 *散布谎言并操纵公众舆论。* | # | 组织 | 频道 | 国家 | 级别 | |---|-------|-------|------|-------| | 18 | CyberYozh | @cyberyozh_official | 俄罗斯 | 🔴 高 | | 19 | Sharp33377 | @sharp33377 | 俄罗斯 | 🟡 中 | #### 6.1 CyberYozh (@cyberyozh_official) | 属性 | 详情 | |----------|---------| | **分类** | 📰 宣传者 | | **角色** | 虚假信息散布与 hacker 培训 | | **国家** | 俄罗斯 | | **动机** | 地缘政治,支持俄罗斯 | | **活动级别** | 🔴 高 | **历史记录:** - 网络安全和培训新闻频道 - 推广 hacking 课程 (CyberYozh Academy) - 散布亲俄宣传 - 报道乌克兰 hacker 的攻击 **已记录的活动:** - “乌克兰黑客攻击了阿拉布加的俄罗斯无人机工厂”(虚假信息) - 推广 hacking 课程 - 网络战分析 - 关于 AI 和网络安全的新闻 **证据:** ``` [2026-06-24 14:01:37] ⚠ ALERTA ATAQUE 📢 Canal: @cyberyozh_official 📝 Contenido: 🔥 CyberWeekend: Día 3. Hackeo de software y hardware [2026-06-29 10:30:02] ⚠ ALERTA 📢 Canal: @cyberyozh_official 📝 Contenido: El Pentágono se ha rendido: Estados Unidos está devolviendo al servicio modelos peligrosos de IA de Anthropic. ``` **战术分析:** - **TTPs:** 虚假信息、宣传、hacker 培训 - **目标:** 地缘政治影响、扩大同情者基础 - **影响:** 高 - 操纵公众舆论 ### 类别 7:真正的黑客行动主义者 *不以营利为目的,攻击政治/象征性目标。* | # | 组织 | 频道 | 国家 | 级别 | |---|-------|-------|------|-------| | 20 | 404Crew / Cyber Crew | @cybercrewagain | 国际 | 🟠 高 | | 21 | Anonymous Switzerland | @Anonymous_Switzerland | 瑞士 | 🟡 中 | #### 7.1 404Crew / Cyber Crew (@cybercrewagain) | 属性 | 详情 | |----------|---------| | **分类** | ✊ 黑客行动主义者 | | **角色** | 针对以色列和德国的政治抗议 | | **国家** | 国际 | | **动机** | 反犹太复国主义、反建制 | | **活动级别** | 🟠 高 | **已记录的活动:** - #OpIsrael - 泄露以色列大学的数据 - #OpGermany - 德国网站 defacement - 与 0wnzs3c 和 Infernalis X 合作 **证据:** ``` [2026-06-27 22:51:29] ⚠ ALERTA ATAQUE 📢 Canal: @cybercrewagain 📝 Contenido: What is this list? (Brief Summary) 🇮🇱his list, List of Israeli academics (professors and doctors) working at various universities in Israel Leaked by Infernalis X 404Crew Cyber Team #OpIsrael [2026-06-30 21:58:08] ⚠ ALERTA ATAQUE 📢 Canal: @cybercrewagain 📝 Contenido: ‼ 🚨 ffb.de : A Germany-based mutual fund and financial services site 404Crew Hacked by Cyber Team and Alliances 🇩🇪OpGermany ``` **战术分析:** - **TTPs:** 数据泄露、defacement - **目标:** 政治抗议、曝光度 - **影响:** 中 - 对目标造成声誉损害 ### 类别 8:有组织犯罪 (#OPTHAILAND - 柬埔寨联盟) *这些组织在 #OpThailand 的保护伞下运作。他们是民族主义和利益的混合体。* | # | 组织 | 频道 | 国家 | 级别 | |---|-------|-------|------|-------| | 22 | AnaJak_NX | @AnaJak_NX | 柬埔寨 | 🔴 严重 | | 23 | NXBBSEC | @NXBBSEC | 柬埔寨 | 🔴 高 | | 24 | EKIA_DOM | @EKIA_DOM | 柬埔寨 | 🔴 高 | | 25 | EXADOS | @EXADOS | 柬埔寨 | 🟠 高 | | 26 | Nexusec | @Nexusec | 柬埔寨 | 🟠 高 | | 27 | ZxS3C | @ZxS3C | 柬埔寨 | 🟠 高 | | 28 | HOUR_CYBER | @HOUR_CYBER | 柬埔寨 | 🟠 高 | | 29 | SEXDAN | @SEXDAN | 柬埔寨 | 🟡 中 | | 30 | Sthabnikddos | @Sthabnikddos | 柬埔寨 | 🟡 中 | | 31 | H3C4KEDZ | @H3C4KEDZ | 柬埔寨 | 🟡 中 | | 32 | DarkStarNx | @DarkStarNx | 柬埔寨 | 🟡 中 | | 33 | BEN10 | @BEN10 | 柬埔寨 | 🟡 中 | | 34 | ZAHERINFINITY | @ZAHERINFINITY | 柬埔寨 | 🟡 中 | | 35 | Z3R0S3CC | @Z3R0S3CC | 柬埔寨 | 🟡 中 | | 36 | ZxS3xx | @ZxS3xx | 柬埔寨 | 🟠 高 | #### 8.1 AnaJak_NX (@AnaJak_NX) | 属性 | 详情 | |----------|---------| | **分类** | 💀 有组织犯罪 / 民族主义者 | | **角色** | 领导者和指挥控制 | | **国家** | 柬埔寨 | | **动机** | 民族主义 + 知名度 | | **活动级别** | 🔴 严重 | **历史记录:** - 出现于 2025 年 - 在 2026 年巩固了联盟领导地位 - 以“CambodiaberArmy”名义运作 **已记录的活动:** - 泄露警察系统的凭据 - 协调攻击 - 发布泄露的数据 **证据:** ``` [2026-06-30 12:52:44] 💀 ALERTA BOTNET 📢 Canal: @AnaJak_NX 📝 Contenido: URL: https://prs-uat.police.go.th/ Hacker Group #CambodiaCyberArmy #NXBSEC_Leader #OpThailand ``` **战术分析:** - **TTPs:** Doxing、数据泄露、协调攻击 - **目标:** 诋毁泰国,知名度 - **影响:** 严重 - 破坏警察基础设施 #### 8.2 NXBBSEC (@NXBBSEC) | 属性 | 详情 | |----------|---------| | **分类** | 💀 有组织犯罪 / 民族主义者 | | **角色** | 主要执行者 | | **国家** | 柬埔寨 | | **动机** | 民族主义 + 知名度 | | **活动级别** | 🔴 高 | **已记录的活动:** - “We Not Surrender. We Fighting OpThailand” - 自称“AnonSecKh 的领导者” - 发布教育系统的凭据 **证据:** ``` [2026-06-30 04:39:45] 💀 ALERTA BOTNET 📢 Canal: @AnaJak_NX 📝 Contenido: Hacker Group #CambodiaCyberArmy #NXBSEC_Leader #OpThailand ``` #### 8.3 EKIA_DOM (@EKIA_DOM) | 属性 | 详情 | |----------|---------| | **分类** | 💀 有组织犯罪 | | **角色** | 中继和增援 | | **国家** | 柬埔寨 | | **动机** | 民族主义 + 知名度 | | **活动级别** | 🔴 高 | **已记录的活动:** - 转发 AnaJak_NX 的内容 - 发布 DDoS 攻击和 defacement **证据:** ``` [2026-06-23 08:56:24] 💀 ALERTA BOTNET 📢 Canal: @EKIA_DOM 📝 Contenido: 🐈‍⬛inistry of Tourism and Sports (MOTS) of the Government of Thailand. 🔴 Down ``` ### 类别 9:其他(未分类) | # | 组织 | 频道 | 国家 | 级别 | |---|-------|-------|------|-------| | 37 | Lun4risSec | @Lun4risSec | 阿尔及利亚 | 🟡 中 | | 38 | BoatOfLunarisSec | @BoatOfLunarisSec | 阿尔及利亚 | 🟡 中 | | 39 | UserSec | @usersecc | 国际 | 🟡 中 | | 40 | KillMillk | @KillMillk | 国际 | 🟡 低 | | 41 | Spid3rCrypt | @Spid3rCrypt | 国际 | 🟡 低 | | 42 | cr2ck4u | @cr2ck4u | 国际 | 🟡 低 | | 43 | ITundSicherheit | @ITundSicherheit | 德国 | 🟡 中 | | 44 | TAndroidBeta | @TAndroidBeta | 国际 | 🟡 低 | | 45 | NIKK_BOSS | @NIKK_BOSS | 国际 | 🟡 中 | | 46 | usrsc_reservs | @usrsc_reservs | 国际 | 🟡 中 | ## 第 3 部分:#OPTHAILAND 行动分析 ### 3.1 事件时间线 | 阶段 | 时期 | 活动 | 证据 | |------|---------|-----------|-----------| | **第 1 阶段** | 2026年4月-6月 | DDoS 攻击和网站 defacement | 已记录的 defacement | | **第 2 阶段** | 2026年6月 | 在 #OpThailand 下进行协调 | 使用 #OpThailand 标签 | | **第 3 阶段** | 2026年6月下旬 | 大规模凭据泄露 | 在 @AnaJak_NX 上发布凭据 | | **第 4 阶段** | 2026年7月 | 警察基础设施被攻陷 | prs-uat.police.go.th 的凭据 | ### 3.2 关系图 ``` ┌─────────────────────────────────┐ │ AnaJak_NX │ │ (Mando y Control) │ └──────────────┬──────────────────┘ │ ┌──────────────────────┼──────────────────────┐ │ │ │ ┌───────▼────────┐ ┌───────▼────────┐ ┌───────▼────────┐ │ EKIA_DOM │ │ ZxS3xx │ │ NXBBSEC │ │ (Repetidor) │ │ (Repetidor) │ │ (Ejecutor) │ └───────┬────────┘ └───────┬────────┘ └───────┬────────┘ │ │ │ └──────────────────────┼──────────────────────┘ │ ┌──────────────────────┼──────────────────────┐ │ │ │ ┌───────▼────────┐ ┌───────▼────────┐ ┌───────▼────────┐ │ EXADOS │ │ Nexusec │ │ HOUR_CYBER │ │ (Defacement) │ │ (Doxing) │ │ (DDoS) │ └────────────────┘ └────────────────┘ └────────────────┘ ``` ### 3.3 战术、技术和程序 #### 3.3.1 凭据泄露 (T1589 - Credential Dumping) **描述:** 大规模发布系统访问凭据。 **已记录示例(已匿名化):** | 系统 | 泄露的用户名 | 泄露的密码 | |---------|------------------|-------------------| | `mis.nrru.ac.th` | 6531**** | mm****** | | `giftcard.payme.in.th` | nari*******@gmail.com | 0817******* | | `school.vss.ac.th` | 1939********** | 205** | | `prs-uat.police.go.th` | [已涂黑] | [已涂黑] | #### 3.3.2 网页篡改 (T1491 - Defacement) **描述:** 篡改官方网站的页面。 | 目标 | 作者 | 日期 | |----------|-------|-------| | `www.song.ac.th/ANAJAKNX.html` | HOUR_CYBER | 25/06/2026 | | `www.wangang.go.th` | EXA-DOS | 28/06/2026 | | `prapawangang.com` | EXA-DOS | 28/06/2026 | #### 3.3.3 DDoS 攻击 (T1498 - Network Denial of Service) **描述:** 使服务器饱和以中断服务。 | 目标 | 验证 | 日期 | |----------|--------------|-------| | 泰国旅游与体育部 | check-host.net/check-report/42a02ccdkf85 | 23/06/2026 | ## 第 4 部分:妥协指标 ### 4.1 被攻陷的域名和 URL | 域名 | 状态 | 妥协类型 | |---------|--------|-------------------| | `mis.nrru.ac.th` | 已攻陷 | 凭据泄露 | | `giftcard.payme.in.th` | 已攻陷 | 凭据泄露 | | `school.vss.ac.th` | 已攻陷 | 凭据泄露 | | `prs-uat.police.go.th` | 已攻陷 | 凭据泄露 | | `tpcc.police.go.th` | 已攻陷 | 凭据泄露 | | `www.song.ac.th` | 已攻陷 | Defacement | | `www.wangang.go.th` | 已攻陷 | Defacement | | `prapawangang.com` | 已攻陷 | Defacement | ### 4.2 威胁 Telegram 频道 | 频道 | 角色 | 类型 | 状态 | |-------|-----|------|--------| | `@AnaJak_NX` | #OpThailand 领导者 | 💀 犯罪分子 | 活跃 | | `@EKIA_DOM` | #OpThailand 中继者 | 💀 犯罪分子 | 活跃 | | `@ZxS3xx` | #OpThailand 中继者 | 💀 犯罪分子 | 活跃 | | `@DutyFreeForum` | 犯罪论坛 | 💰 网络罪犯 | 活跃 | | `@DataPremium_SSSO` | 黑市 | 💰 网络罪犯 | 活跃 | | `@itarmyofrussianews` | 亲俄 | 🕵️ 间谍 | 活跃 | | `@cyberyozh_official` | 宣传 | 📰 宣传者 | 活跃 | | `@cybercrewagain` | 黑客行动主义者 | ✊ 黑客行动主义者 | 活跃 | ## 第 5 部分:建议与结论 ### 5.1 泰国应采取的紧急行动 1. **通知所有受影响的实体**有关凭据泄露的情况。 2. **强制更改**所有受损系统的密码。 3. **在所有关键系统上实施双因素认证 (2FA)**。 4. **建立主动监控**以检测未经授权的访问。 5. **审核**受损系统上的访问日志。 ### 5.2 短期行动 1. **加强国际合作**,与国际刑警组织和邻国合作。 2. **开展模拟演练**,以应对 DDoS 攻击和数据泄露。 3. **培训人员**识别社会工程学攻击。 4. **在整个公共行政系统中实施强密码策略**。 ### 5.3 长期行动 1. **制定国家网络安全战略。** 2. **建立专门的计算机安全事件响应团队 (CSIRT)。** 3. **加强网络安全领域的公私合作**。 4. **投资于威胁情报**和 OSINT 分析。 ### 5.4 结论 **威胁摘要:** | 类别 | 数量 | 风险级别 | |-----------|----------|-----------------| | 💰 网络罪犯 | 7 | 🔴 严重 | | 🔓 CRACKERS | 3 | 🔴 高 | | ☠️ 网络恐怖分子 | 2 | 🔴 严重 | | 🕵️ 间谍 | 3 | 🔴 高 | | 🎭 诈骗分子 | 2 | 🟠 中 | | 📰 宣传者 | 2 | 🟠 中 | | ✊ 黑客行动主义者 | 2 | 🟡 中 | | 💀 有组织犯罪 | 15 | 🔴 严重 | ## 附件 ### 附件 A:术语表 | 术语 | 定义 | |---------|------------| | **Blackhat** | 出于恶意或盈利目的运作的 cracker | | **Defacement** | 未经授权更改网站内容 | | **DDoS** | 分布式拒绝服务攻击 | | **Doxing** | 未经授权发布个人信息 | | **ICS/SCADA** | 工业控制系统 | | **OSINT** | 开源情报 | | **TTP** | 战术、技术和程序 | **完整档案结束** 🦅 **Condor2026 - SpectrumSecurity** - **紫队 (PURPLETEAM)** - **防御** - **停止网络攻击** - **预防** - **新闻业** - **威胁情报** 🦅
标签:威胁情报, 开发者工具, 网络战, 黑客行动主义