過去幾年,暗網論壇多半被視為網路犯罪世界中的「地下市集」——駭客在這裡販售資料、交易漏洞、兜售惡意程式,或尋找合作夥伴。但近期資安圈觀察到,一些大型暗網論壇的角色正快速改變。它們不再只是被動提供交易空間,而是開始主動參與攻擊營運,甚至逐漸演變成真正的「犯罪平台」。
其中最具代表性的案例之一,便是知名暗網論壇 BreachForums 與勒索軟體集團 The Gentlemen 之間最新曝光的合作關係。
根據地下論壇公告,BreachForums 擁有者「diencracked」於 2026 年 5 月 16 日正式宣布與 The Gentlemen 建立合作,並同步公開招募「加盟攻擊者」、滲透測試人員,以及「初始入侵掮客(Initial Access Broker,IAB)」。公告中特別強調,參與攻擊的加盟成員可獲得高達 90% 的勒索收益分潤。
這個數字,某種程度上已經不像傳統駭客組織,更像是軟體服務平台的合作夥伴制度。
從地下論壇到「犯罪營運平台」
真正值得注意的,不只是雙方合作本身,而是這代表 BreachForums 的角色定位正在改變。
過去暗網論壇大多負責:
- 販售外洩資料
- 張貼漏洞資訊
- 發布惡意工具
- 招募攻擊者
- 交換入侵技巧
但此次 BreachForums 與 The Gentlemen 的合作,已明顯超越傳統論壇「廣告平台」角色。
從目前公開資訊來看,BreachForums 不僅協助:
- 招募加盟攻擊者
- 串接初始入侵掮客
- 提供地下流量導流
- 經營攻擊者社群
甚至可能進一步提供基礎設施與協同營運支援。
這意味著,暗網論壇正在逐漸變成一種「網路犯罪作業平台」。
論壇負責建立犯罪生態、提供信任機制與會員流量;勒索集團負責檔案加密、資料外洩與談判;初始入侵掮客提供 VPN、遠端桌面或企業 Active Directory 存取權限;資訊竊取惡意程式生態則持續供應被竊帳號密碼。整個地下產業鏈如今已開始形成高度模組化分工。
換句話說,現代勒索攻擊已不再是單一駭客行為,而是完整的供應鏈協作模式。
The Gentlemen:新世代勒索即服務的「企業化經營」
The Gentlemen 自 2025 年下半年開始活躍,至今已宣稱攻擊超過 346 家組織,平均每月約發動 43 起攻擊,受害產業橫跨:
- 醫療
- 製造業
- 金融
- 教育
- 政府機構
而其營運模式,也顯示該組織已逐漸成熟化。
The Gentlemen 採用典型「雙重勒索」模式,不僅加密檔案,也同步竊取資料進行二次勒索。但與傳統勒索集團不同的是,其開始強調「靜默式加密」概念。
這類技術的核心目的,在於降低企業資安監控中心、端點偵測系統或使用者第一時間察覺異常的機率。
根據目前樣本分析,The Gentlemen 在加密過程中會盡可能:
- 保留原始檔名
- 維持時間戳記
- 降低系統異常變化
- 避免大量 CPU 使用率峰值
這代表其開發方向已開始偏向「隱匿型勒索攻擊」。
對防禦方而言,這是一個危險訊號。因為傳統勒索偵測邏輯,多半依賴大量檔案異動、磁碟存取行為與加密特徵,但若攻擊者開始降低「可視化異常」,代表未來企業可能在真正發現異常前,資料早已完成外洩。
為何 The Gentlemen 禁止攻擊獨立國協國家?
另一個典型特徵,是 The Gentlemen 明確禁止攻擊「獨立國協(CIS)」國家。
這其實是俄語系地下犯罪圈長年存在的不成文規則。
許多來自俄語系地區的勒索組織,通常避免攻擊:
- 俄羅斯
- 白俄羅斯
- 哈薩克
- 獨立國協成員國
原因不只是政治敏感性,更涉及地下世界的「默契」。
對不少勒索集團而言,只要不攻擊本地目標,通常就能降低遭當地執法單位積極追查的風險。因此,「禁止攻擊獨立國協國家」往往也成為判斷組織可能背景的重要線索之一。
勒索軟體開始「平台化」
真正值得警戒的,是 The Gentlemen 展現出的平台化經營思維。
除了傳統 90/10 分潤模式外,該組織甚至推出:
- 97/3 的「純資料勒索」方案
- 加盟成員保證金制度
- 攻擊目標揭露機制
- 即時漏洞修補更新
- 加密通訊管理
這代表其已經不只是勒索軟體,而是完整的「勒索即服務平台」。
尤其在 2026 年 4 月公開解密工具出現後,The Gentlemen 甚至在同日內完成修補更新。這種開發效率,更像現代軟體服務團隊,而非傳統地下駭客組織。
從資安產業角度來看,這代表地下犯罪世界正在出現:
- 開發維運一體化
- 軟體服務化
- 地下加盟經濟
- 平台經濟化
攻擊者開始像經營新創公司一樣經營勒索軟體。
BreachForums 為何重要?
BreachForums 在過去幾年,一直是全球最大資料外洩與地下交易論壇之一。
其影響力來自於:
- 大量活躍會員
- 外洩資料流通
- 勒索集團曝光
- 初始入侵權限交易
- 資訊竊取帳密黑市
而當這類論壇開始直接與勒索集團整合後,整個地下生態的攻擊效率將被大幅放大。
因為論壇本身就擁有:
- 攻擊者流量
- 信譽評價機制
- 招募能力
- 金流與加密通訊生態
這讓它不再只是「市場」,而是「犯罪基礎設施」。
某種程度上,BreachForums 與 The Gentlemen 的合作,更像是地下版的雲端平台與軟體服務整合。
從 FortiGate 漏洞到中間人釣魚:地下供應鏈已完成串接
更值得注意的是,近期暗網市場上的其他活動,也與這種「整合化犯罪平台」趨勢高度吻合。
例如:
- Fortinet FortiGate 漏洞繞過工具被公開販售
- 瀏覽器中間人(Browser-in-the-Middle)自動化釣魚框架商品化
- Evilginx 客製化釣魚模組服務
- 醫療個資與疫苗金鑰資料交易
這些看似獨立事件,其實正逐漸形成完整攻擊鏈:
- 中間人釣魚與資訊竊取惡意程式先竊取帳密
- 初始入侵掮客販售企業 VPN 或遠端桌面存取權
- 勒索集團進行橫向移動
- 執行資料外洩與雙重勒索
- 暗網論壇協助散播與談判
- 外洩資料再次回流黑市交易
整個流程,已經高度工業化。
對企業最大的警訊:你面對的不再只是駭客
從資安防禦角度來看,最大的改變在於——企業現在面對的,不再只是單一威脅行為者,而是一整套地下犯罪供應鏈。
這也是為何近年勒索攻擊成功率與破壞規模持續上升。
因為攻擊者已開始具備:
- 分工合作
- 平台營運
- 自動化工具鏈
- 零工經濟模式
- 軟體服務化更新能力
- 地下品牌經營
未來企業若仍只依賴:
- 傳統防火牆
- 特徵碼防毒
- 單點式端點偵測防護
將很難對抗這種「平台化攻擊生態」。
真正關鍵的,將是:
- 零信任架構
- 身分與存取監控
- 深網與暗網情資監控
- Active Directory 異常行為分析
- 攻擊面管理
- 持續性威脅獵捕
- 抗釣魚多因素驗證
- 初始入侵掮客情資追蹤
- Deception 欺敵誘捕防禦技術
尤其在現今勒索集團高度依賴「初始入侵權限」與橫向移動的情境下,Deception欺敵式防禦開始重新受到全球企業與資安團隊重視。與傳統被動式防禦不同,Deception 的核心概念,是主動在企業內部部署高擬真的誘餌系統、假帳號、假憑證、假檔案與誘捕服務,讓攻擊者一旦進行橫向移動、憑證濫用或內網探索時,就會誤觸誘捕環境並立即觸發告警。
這類技術特別適合因應:
- 勒索軟體橫向移動
- Active Directory 偵察
- 憑證濫用
- 初始入侵後的內網探索
- 資料竊取行為
- 內部威脅
由於正常使用者與系統理論上不會主動存取這些誘餌資源,因此 Deception 的另一個優勢,在於極低誤報率。當前像 The Gentlemen 這類新世代勒索集團,已逐漸朝向「靜默化」與「低可視性」攻擊發展,傳統依賴特徵碼、行為分析或大量異常事件的防禦方式,未來可能越來越難在第一時間發現攻擊者。但 Deception 的價值,正在於能於攻擊者仍處於「前期偵察」與「橫向移動」階段時,就提前暴露其行蹤。
換句話說,在未來的勒索防禦戰場中,企業需要的不再只是「阻擋攻擊」,而是必須具備「提早發現已經進入內網的攻擊者」的能力。因為在現在的地下世界裡,「初始存取權」與「企業帳號密碼」的價值,往往比漏洞本身更高。
而當企業發現自己遭勒索時,很多時候其實早已在暗網市場被販售數週甚至數月。