Administratorul XSS.is arestat la Kiev după 12 ani de activitate
Kyiv, 22 iulie 2025 — Europol a confirmat arestarea presupusului administrator al forumului XSS.is, unul dintre cele mai vechi și influente huburi de criminalitate cibernetică vorbitoare de limbă rusă. Acțiunea a fost condusă de Poliția Franceză, cu sprijinul autorităților ucrainene și al Europol, în cadrul unei investigații lansate în 2021. (Sursa)
XSS.is (cunoscut anterior ca DaMaGeLaB) funcționa din 2013 și avea peste 50.000 de utilizatori înregistrați. Platforma era considerată unul dintre pilonii infrastructurii rusești de cybercrime, împreună cu Exploit.
Se vindeau aici:
- acces la rețele corporate compromise (în special pentru grupări ransomware),
- baze de date furate și informații bancare,
- kituri de malware și exploit-uri,
- servicii precum spălare de bani și DDoS la comandă.
Forumurile dispuneau de reputație internă și escrow — administratorul acționa ca arbitru, blocând fondurile până la confirmarea tranzacțiilor.
Suspectul, un veteran activ de aproape 20 de ani, gestiona nu doar partea tehnică, ci și relațiile de încredere între actori infracționali. Era, de asemenea, implicat în operarea thesecure.biz, o platformă de mesagerie criptată pentru infractori. Profit estimat: 7 milioane euro, din comisioane și publicitate.
Infrastructura forumului, confiscată
Autoritățile au preluat și domeniul clearnet al XSS.is. Vizitatorii sunt întâmpinați de un mesaj de sechestru emis de Brigada de Luptă împotriva Criminalității Cibernetice din Franța, cu sprijinul SBU.
Serverele confiscate conțin:
- arhive de mesaje private,
- portofele cripto,
- adrese IP,
- date de login și detalii despre tranzacții.
Acestea sunt o mină de aur pentru forțele de ordine și pot duce la noi arestări în lunile ce urmează.
Dispariția XSS.is produce:
- panică în forumurile rivale (precum Exploit),
- migrație haotică a utilizatorilor către alte platforme,
- restructurare a relațiilor între grupări,
- creștere a riscului operațional în comunicare și tranzacții.
Este o lovitură majoră în strategia europeană de demantelare a rețelelor cybercrime, urmând altor acțiuni recente, precum ofensiva împotriva grupului pro-rus NoName057(16).
NoName057(16)
Săptămâna trecută, Europol a anunțat o operațiune ce a vizat infrastructura acestui grup de tip hacktivist pro-rus. Gruparea, activă între 2024–2025, a atacat 3.776 de ținte din UE și Ucraina folosind instrumentul DDoSia, un tool Go-based susținut de voluntari. Printre ținte: guverne, transporturi, media și entități financiare.
Gruparea NoName057(16) este un colectiv pro-rus de tip hacktivist activ din ianuarie 2022, cunoscut pentru campanii masive de atacuri DDoS (nivel rețea și aplicație) împotriva instituțiilor din țări care susțin Ucraina.
Folosește instrumentul DDoSia, un tool Go-based open source, distribuit voluntarilor prin Telegram. Participanții primesc criptomonede ca recompensă.
Ținte principale: guverne, infrastructură publică, presă, transport și sector financiar din Ucraina, Polonia, Franța, Germania, Italia, Suedia, Cehia și Marea Britanie.
SUA, deși un aliat major al Ucrainei, nu a fost vizat în mod semnificativ, semn că grupul prioritizează atacuri în spațiul european.
Infrastructura lor include o rețea multi-tier C2 cu servere Tier 1 rotite frecvent (275 identificate) și Tier 2 protejate prin ACL-uri.
Au capacitate de 50+ ținte zilnic, iar ritmul atacurilor crește în funcție de evenimente geopolitice.
Nu se implică în breșe de securitate sau exfiltrare de date, ci urmărește disruptivitate și propagandă digitală.
Grupul operează public pe canale Telegram, unde anunță țintele și își promovează „succesul”. Activitatea lor este susținută ideologic și mediatic, fiind considerată o extensie informală a operațiunilor hibride ruse.
