Aperçu de l’avril 2025 Turme
BreachForums a brusquement été hors ligne, ce qui a provoqué une vague de domaines de copiement opportunistes et une confusion généralisée au sein de la communauté du Web Dark. L’arrêt – maintenant confirmé via une déclaration signée par le PGP par d’anciens administrateurs – a été attribué à un exploit zéro-jour ciblant le logiciel du forum MYBB. Cette vulnérabilité aurait été exploitée soit par les acteurs de l’application des lois, soit des acteurs de la menace rivale.
Le domaine Clearnet le plus récent, BreachForums (.) ST, a commencé à renvoyer une erreur 403 le 15 au 15 avril. Les canaux télégrammes affiliés au forum et son service d’oignon associé ont également été hors ligne au cours de cette période. Un message aurait été rédigé par «Anastasia», l’un des principaux administrateurs, a fait allusion à la participation du FBI – bien que cela ne reste pas vérifié. Les spéculations ont prospéré dans la communauté Darknet, avec des théories allant de la trahison d’initiés à l’effondrement technique en raison d’un logiciel obsolète et d’une mauvaise sécurité opérationnelle (OPSEC).
Figure 1: BreachForums.ST PGP Signé Message par ses administrateurs
Ajoutant à l’incertitude, le backend de BreachForums aurait été repéré en vente pour 2 000 $, suggérant un compromis plus profond. Notamment, le site n’a jamais affiché une bannière officielle des crises d’application de la loi, qui est généralement requise dans ces retraits.
Figure 2: View.fi sur le site du 4 avril 2025
Copycates et chaos
Au lendemain, une prolifération de domaines de clones et d’identité a émergé – a (.) Fi, BreachForums (.) Royaume-Uni et autres. Certains, comme la variante .fi, étaient initialement perçus comme légitimes mais ont été rapidement discrédités.
L’acteur de menace, Rey, aurait été connecté au groupe de ransomware Hellcat, a exposé une violation (.) Fi comme frauduleux. À peu près à la même époque, le groupe Hacktiviste basé sur Telegram, Dark Storm, a revendiqué une attaque DDOS sur le même domaine. D’autres imitateurs, y compris BreachForums (.) AF, .is, .im et .lol, ont présenté de fausses avis de crise du FBI ou des liens de redirection vers les sites d’application de la loi et les fournisseurs suspects de la base de données.
Figure 3: Rey’s X Post Commentant le chaos BF
Figure 4: Capture d’écran de BreachForums.Im montrant l’annonce d’inscription payante
Certaines variantes ont également exigé le paiement des utilisateurs pour accéder au contenu, prétendument pour prévenir l’infiltration des forces de l’ordre.
Déclaration du 28 avril et redémarrages fragmentés
Le 28 avril, le domaine .st original a refait surface avec un autre message signé PGP, confirmant l’exploit MYBB zero-day, niant des arrestations ou des pertes de données, et annonçant une réécriture complète du backend. Le message a averti les utilisateurs que de nombreux sites de copie pourraient être des pots de miel ou des leurres de phishing.
Malgré ce message, les rumeurs sur le sort des administrateurs et la légitimité des sites de remplacement émergents ont persisté. Plusieurs groupes d’éclat et tentatives de redémarrage sont apparus depuis:
Faction soutenue par 888, techniquement dirigée par 302:
Après la fermeture d’avril, une nouvelle initiative a émergé apparemment soutenu par l’utilisateur BreachForums 888, avec le support technique d’un autre utilisateur, 302. L’infrastructure liée à cette faction a fait surface dans des fuites pointant vers l’IP 176.65.137.250:19191. Bien que des objectifs spécifiques restent flous, leur implication signale une fragmentation croissante. Notamment, 888 avait précédemment revendiqué le crédit pour la fuite de données de BMW Hong Kong en juillet 2024.
Initiative de Hassanbroker (financé par Rey)
Une autre tentative de redémarrage est venue de HassanBroker, qui a enregistré plusieurs domaines de lookalike, notamment des violations (.) Com, .NET, .org, et vioché (.) Ws. Reconnaissant les liens avec Intelbroker, Hassan a encadré le projet en hommage au forum d’origine. Il aurait reçu un don de 500 $ USD de Rey, mais les doutes persistent en raison de questions sur la maturité de l’équipe de modération et de la compétence opérationnelle.
La demande de redémarrage de « Momondo »
Un utilisateur sous l’alias «Momondo» a déclaré les intentions de ressusciter BreachForums, citant des liens avec son fondateur d’origine Conor Brian Fitzpatrick (alias Pompurin). Tout en se distanciant des personnages comme Anastasia et Shinyhunters, Momondo a mis l’accent sur la confiance communautaire et l’OPSEC. Cependant, les enquêtes ont soulevé des inquiétudes selon lesquelles «Momondo» peut être un imposteur, représentant potentiellement une pot ou une arnaque.
Pression du contexte et des forces de l’ordre
L’histoire de BreachForums est étroitement liée aux actions des forces de l’ordre. Des administrateurs antérieurs tels que «omnipotent» et «pompompurin» ont été arrêtés entre 2022-2023, avec des racines remontant à son prédécesseur RaidForums, lancé en 2015. Au cours de la rédaction de ce jour, aucune action officielle d’application de la loi ou des arrestations confirmées n’a été signalée dans les domaines de Copyat.
Ces développements soulignent l’augmentation de la volatilité et de la décentralisation des écosystèmes cybercriminaux dans le cadre d’un examen approfondi de l’application des lois. La communauté de BreachForums se retrouve désormais fragmentée – résolue entre les défaillances opérationnelles, la méfiance et l’intensification de la pression des autorités mondiales.
Figure 7: Chronologie de BreachForums
Conclusion
Des événements récents mettent en évidence l’instabilité des forums Darknet, même ceux qui ont une réputation établie comme BreachForums. Malgré la pression des forces de l’ordre et les conflits internes, ces plateformes réapparaissent souvent sous de nouvelles formes. Quelle forme la prochaine version de BreachForums prendra – et qui le mènera – reste incertain. Darkowl continuera de surveiller de près cette situation en évolution.
