ユーロポールは月曜日、悪名高いロシア語圏のサイバー犯罪プラットフォームXSS.is(旧DaMaGeLaB)の管理者とみられる人物を逮捕したと発表しました。
この逮捕は2025年7月22日にウクライナのキーウで行われ、フランス警察とパリ検察が主導し、ウクライナ当局およびユーロポールと協力して実施されました。この措置は、2021年7月にフランス警察によって開始された捜査の結果です。
逮捕と同時に、法執行機関はXSS.isのクリアネットドメインも押収し、訪問者には「このドメインはSBUサイバー部門の支援を受けたla Brigade de Lutte Contre la Cybercriminalitéによって押収されました」という押収通知が表示されています。
「このフォーラムは5万人以上の登録ユーザーを持ち、盗難データ、ハッキングツール、違法サービスの主要なマーケットプレイスとして機能していました」と法執行機関は述べています。「長年にわたり、最も活発で危険なサイバー犯罪ネットワークの中心的なプラットフォームとなり、調整、広告、リクルートに利用されてきました。」
フォーラムの管理者は、サービスの技術的運営に携わるだけでなく、犯罪者間の紛争を仲裁し、取引の安全性を保証する信頼できる第三者として犯罪活動を助長していたとされています。
この匿名の人物は、サイバー犯罪者のニーズに特化したプライベートメッセージングプラットフォーム「thesecure.biz」も運営していたと考えられています。これらの違法事業を通じて、容疑者は広告料や仲介手数料から推定700万ユーロ(約824万ドル)の利益を得ていたとされています。
「捜査官らは、彼がほぼ20年にわたりサイバー犯罪エコシステムで活動しており、長年にわたり複数の主要な脅威アクターと密接な関係を維持していたと考えています」とユーロポールは付け加えました。
パリ検察によると、XSS.isは2013年から活動しており、侵害されたシステムへのアクセスやランサムウェア関連サービスなど、あらゆるサイバー犯罪のハブとして機能していました。また、サイバー犯罪者が匿名で通信できる暗号化されたJabberメッセージングサーバーも提供していました。
XSS.isはExploitとともにロシア語圏サイバー犯罪エコシステムの中核を担っており、これらのフォーラムの脅威アクターは主に非ロシア語圏の国々を標的にしています。KELAが共有したデータによると、XSSには現在48,750人の登録ユーザーと11万件以上のスレッドがあります。
「違法取引を円滑にするため、フォーラムには内蔵の評価システムがあります」とKELAは述べています。「メンバーは、詐欺なしに取引が完了するようにフォーラム指定のエスクローサービスを利用でき、またデポジットを追加することで自分の評価を高めることができます。」
この動きは、ユーロポール主導の作戦が、親ロシア派のハクティビストグループNoName057(16)に関連するオンラインインフラを撹乱し、ウクライナおよびその同盟国に対してボランティア主導のGoベースのツール「DDoSia」を使った分散型サービス妨害(DDoS)攻撃を行った2人を逮捕した一週間後に発表されました。
Recorded FutureのInsikt Groupが今週公開したレポートによると、このグループは2024年7月1日から2025年7月14日までの間に、主に政府機関、公共部門、交通、技術、メディア、金融分野の欧州諸国(ロシアのウクライナ侵攻に反対する国々)に属する3,776のユニークなホストを標的にしました。
ウクライナの組織が標的の最大シェア(29.47%)を占め、次いでフランス(6.09%)、イタリア(5.39%)、スウェーデン(5.29%)、ドイツ(4.60%)、イスラエル(4.50%)、チェコ(4%)、ポーランド(4%)、イギリス(3.30%)となっています。アメリカはウクライナ支援国であるにもかかわらず、注目すべき例外となっています。
NoName057(16)のインフラについての詳細な分析により、急速にローテーションされるTier 1コマンド&コントロール(C2)サーバーと、上流アクセスを制限し信頼性の高いC2機能を維持するためにアクセス制御リスト(ACL)で保護されたTier 2サーバーからなる、耐障害性の高い多層アーキテクチャが明らかになりました。この期間中に275のユニークなTier 1が特定されています。
「この脅威グループは高いオペレーション頻度を維持しており、1日平均50のユニークな標的を攻撃し、ウクライナでの地政学的・軍事的な動きと連動して活動が激化する傾向があります」と、Mastercard傘下のサイバーセキュリティ企業は述べています。
「NoName057(16)はネットワーク層とアプリケーション層のDDoS攻撃を組み合わせて使用し、サーバーリソースを圧倒し可用性を妨害する手法を選択しています。この脅威グループの攻撃手法は単純ながら効果的であり、大量のフラッドやリソース枯渇技術を優先しています。」
翻訳元: https://thehackernews.com/2025/07/europol-arrests-xss-forum-admin-in-kyiv.html