Selon Moonlock, une opération conjointe de la police française et d’Europol a conduit à la saisie du forum XSS.is et à l’arrestation de son administrateur présumé, qui aurait facilité plus de 7 M€ de transactions criminelles. Actif depuis plus d’une décennie et regroupant 50 000+ utilisateurs, le forum était un pivot du cybercrime russophone, et son démantèlement constitue un revers notable pour cet écosystème. Des experts anticipent toutefois des migrations vers d’autres plateformes et d’éventuelles tentatives de résurrection du forum. 🚔
Sur le plan technique, XSS.is opérait à la fois sur le dark web et le clearnet, facilitant la vente de logs de stealers, de systèmes compromis, de malwares (dont des variantes visant Apple) et la coordination d’attaques (notamment liées aux ransomwares). Le forum fonctionnait comme une plateforme de collaboration « à la manière » des environnements de développement légitimes, où les acteurs échangeaient ressources et savoir-faire.
L’enquête a également établi que l’administrateur exploitait le service de messagerie chiffrée thesecure.biz, illustrant des pratiques d’OPSEC avancées et une infrastructure cybercriminelle sophistiquée.
Indicateurs et comportements observés:
- IOCs (indicateurs):
- Domaines: xss.is, thesecure.biz
- TTPs (techniques, tactiques et procédures):
- Distribution de malware et vente de logs de stealers
- Vente/accès à des systèmes compromis
- Coordination de campagnes (incluant des opérations de ransomware)
- Usage de services de messagerie chiffrée et OPSEC renforcée
- Collaboration structurée sur forum, similaire à des plateformes de développement
Type d’article: opération de police. But principal: informer du démantèlement de XSS.is, de ses usages criminels et des éléments techniques mis au jour.
🔗 Source originale : https://moonlock.com/dark-web-forum-xssis-shut-down