Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Arresto di Toha: il futuro del mercato nero dopo la chiusura di XSS

Redazione RHC : 7 Settembre 2025 09:27

L’arresto del presunto amministratore del forum in lingua russa XSS[.]is, soprannominato Toha, è diventato un punto di svolta per l’intero mercato nero. Secondo le forze dell’ordine, il 22 luglio 2025, un uomo di 38 anni è stato arrestato in Ucraina nell’ambito di un’indagine condotta per diversi anni dalla polizia francese, dall’Europol e dai servizi ucraini. L’indagine lo ha individuato come organizzatore del commercio di strumenti dannosi, database e accessi illegali, nonché come beneficiario di attacchi ransomware.

Dalla rinascita di DaMaGeLaB a XSS

La stima del possibile profitto è altalenante e suscita polemiche, ma l’importo menzionato supera i sette milioni di euro. Il forum XSS stesso è operativo dal 2013 e un tempo si chiamava DaMaGeLaB. Si posizionava come una piattaforma con meccanismi di reputazione e un rigoroso tabù sugli attacchi ai paesi della CSI. Toha è considerato un veterano degli anni 2000, ex membro di vecchie piattaforme come Hack-All ed Exploit[.]in, coinvolto nel rilancio di DaMaGeLaB con il marchio XSS nel 2018, dopo l’arresto del precedente admin con il nickname Ar3s. I ricercatori associano Toha al nome Anton Avdeev, ma non vi è ancora alcuna conferma ufficiale da parte delle forze di sicurezza, il che si spiega con le indagini in corso e i tentativi di identificare altri partecipanti.

La detenzione non ha colpito solo l’immagine di XSS, ma anche la consueta logica di fiducia. Il dominio pubblico su Internet aperto è diventato rapidamente indisponibile, ma l’Onion Mirror è rimasto al suo posto. Il forum ha avviato una nervosa “pulizia” dei vecchi thread, i moderatori sono rimasti in silenzio per molto tempo e gli utenti hanno iniziato a discutere su chi controllasse l’infrastruttura. Il 3 agosto, il nuovo amministratore ha annunciato che tutti i servizi erano stati trasferiti su altri server, che nuovi indirizzi erano stati lanciati nel clearweb e nel darknet e che il backend e Jabber non erano stati presumibilmente intercettati.


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]




Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Ha affermato di aver informato i moderatori in una discussione chiusa il 27 luglio sulla situazione attuale, ma che la richiesta è stata ignorata. Secondo questa versione, alcuni moderatori hanno abbandonato il progetto e hanno aperto un proprio forum Onion chiamato DamageLib, inviando contemporaneamente inviti personali agli utenti di XSS e sostenendo che il vecchio sito fosse completamente sotto il controllo della polizia.

La migrazione verso DamageLib e i benefici di Exploit

DamageLib è stato il principale beneficiario della prima ondata di migrazione. Entro il 27 agosto, 33.487 account erano registrati, ovvero quasi due terzi del database XSS, che include 50.853 utenti. Tuttavia, non c’è stata alcuna discussione vivace. Nel primo mese, su DamageLib sono apparsi 248 argomenti e 3.107 messaggi, mentre oltre 14.400 post pubblici sono stati registrati su XSS nell’ultimo mese intero prima del sequestro del dominio.

Un’altra reazione degna di nota del mercato è stata evidenziata dalle statistiche sul traffico. Secondo SimilarWeb, Exploit ha registrato un’impennata di quasi il 24% durante il periodo di maggiore turbolenza attorno a XSS; il picco è stato raggiunto il 24 luglio, dopodiché il traffico ha iniziato a scendere a valori normali e XSS è crollato. Gli utenti evitano palesemente il nuovo dominio XSS[.]pro sull’Internet aperto, ed è importante ricordare che stiamo parlando specificamente del traffico clearweb.

Il cambio del team XSS aggiunse benzina sul fuoco. I vecchi moderatori furono bannati e al loro posto furono sostituiti dai nickname Flame, W3W e Locative. La reputazione dei primi due sul sito era quasi pari a zero, il che causò una forte reazione. Iniziarono discussioni e blocchi per commenti critici, i partecipanti esperti scomparvero dalle discussioni o iniziarono a scrivere meno frequentemente.

Per ridurre la gravità della situazione, l’amministratore incaricò un noto personaggio underground con il nickname Stallman, attivo su Exploit, XSS, RAMP, Rutor e Runion, di moderare. Un post separato del 18 agosto affermava che Stallman era di fatto il leader della comunità dei ransomware e avrebbe supervisionato le sezioni dedicate ai venditori e alle fughe di notizie. Questo riportò immediatamente alla ribalta il vecchio conflitto risalente all’era Toha, quando LockBit fu bannato da XSS dopo minacce personali all’amministrazione. Sul forum iniziarono ad apparire richieste di ripristinare l’avatar di LockBit e i commentatori iniziarono a discutere se il nuovo team avrebbe allentato il precedente divieto di parlare di estorsori. Non vi è alcuna conferma di un simile cambio di rotta, ma il fatto stesso della nomina di Stallman alimentava i sospetti.

La crisi nella fiducia in XSS

La crisi di fiducia è stata aggravata dalla storia del deposito. Su XSS, hanno svolto il ruolo di ancora finanziaria di reputazione e, dopo l’arresto, la questione di “chi e come restituirà il denaro” è diventata centrale. Gli utenti stimano le passività totali a 50-55 bitcoin, che a fine agosto ammontano a circa 6,17 milioni di dollari. Il nuovo amministratore ha ammesso che non ci sono fondi per il rimborso completo e ha messo ai voti diverse opzioni per pagamenti parziali.

L’idea principale nella discussione era quella di pagare una percentuale uguale dell’importo a tutti coloro che fossero riusciti a presentare una richiesta di prelievo, con circa il 40,8% dei voti a favore. Un riepilogo separato includeva richieste completate per 7,015942 BTC e 480,527 LTC, ricalcolate a circa 788 mila dollari e 54,7 mila dollari. Il 28 agosto, l’amministratore ha riferito di aver trasferito importi proporzionali ai richiedenti e alcuni destinatari lo hanno confermato pubblicamente. Allo stesso tempo, i partecipanti si sono lamentati del fatto che le sezioni commerciali erano inondate di offerte da parte di nuovi arrivati senza verifica e che gli annunci pubblicitari rivolti ai paesi della CSI tornavano senza un’adeguata moderazione, sebbene ciò fosse precedentemente vietato dalle regole.

Il meccanismo dei Nickname fantasma

Nel frattempo, DamageLib stava sviluppando il proprio modello di fiducia. Nelle prime settimane, i moderatori cryptocat, fenix, sizeof, zen, stringray, rehub e altri hanno chiesto ai nuovi arrivati di non utilizzare vecchi nickname per ridurre i rischi di attribuzione. In seguito, il team ha annunciato gli “account fantasma”. Secondo la loro idea, si tratta di una riserva di nomi noti con verifica successiva, in modo che i precedenti proprietari possano restituire i nickname e la reputazione accumulata.

Il meccanismo ha sollevato dubbi, ma ci sono state segnalazioni secondo cui alcuni partecipanti avevano già ripristinato le proprie identità. In una discussione sulla legittimità dei moderatori, hanno citato la corrispondenza con il team Exploit. Un utente con il nickname Fax ha fatto riferimento a un messaggio di un moderatore Exploit di nome Quake3, che confermava che era stato l’ex team XSS a essere dietro il lancio di DamageLib. Parallelamente, vecchi nickname come antikrya e Ar3s sono stati notati su entrambe le piattaforme, sebbene la loro verifica su DamageLib non sia sempre possibile. Lo stesso Stallman si è registrato su DamageLib come Stallman2 il 27 agosto e afferma di continuare a moderare XSS[.]pro solo per riavere indietro il suo deposito, definendo XSS un progetto sotto il controllo della polizia.

Anche il profilo tecnico di XSS stava cambiando in corso d’opera. L’amministratore ha dichiarato di collaborare con il team di darkcode.technology, che con il nickname del forum DCT si presentava come sviluppatore e fornitore della soluzione anti-DDoS Ghost FastFlux per i nuovi indirizzi nel clearweb e nel darknet. Secondo loro, la tecnologia è in fase di test e potrebbe teoricamente diventare un prodotto, ma non è in vendita. A livello di utente, questo ha avuto scarso effetto sul senso dell’ordine. Il mercato ha continuato a funzionare, ma sempre più annunci pubblicitari sembravano di bassa qualità e fraudolenti, e il tentativo di introdurre un abbonamento a pagamento per filtrare lo spam si è rapidamente rivelato un fallimento. Nei thread di discussione si è parlato di rimuovere del tutto la sezione commerciale. Su DamageLib, si è svolto un dibattito parallelo sull’opportunità di consentire conversazioni sugli estorsori. Hanno prevalso cauti “a favore”, il che riflette un tentativo di intercettare l’agenda in cui XSS non può o non osa dare una risposta chiara.

La mancanza di personalità e simboli

Ciò che rimane è uno strato di personalità e simboli, che nell’underground sono sempre più importanti delle interfacce. Gli utenti si preoccupano apertamente della scomparsa di vecchie autorità e notano la rara comparsa di nickname come c0d3x, lisa99, stepany4, proexp, e scrivono anche che è impossibile verificare quando altri partecipanti noti hanno effettuato l’ultimo accesso ai loro account. La sfiducia è rafforzata dai ban mirati per i post critici e dall’incertezza stessa su chi prende le decisioni e perché. In questo contesto, parte del pubblico ricorda percorsi di backup come Exploit, RAMP e Verified, sebbene anche qui si parli di “esca” e controllo esterno.

Considerando il quadro generale, XSS[.]pro appare come una piattaforma con una qualità di trading scadente, meccanismi finanziari dolorosi e motivazioni non del tutto chiare da parte della nuova amministrazione.

DamageLib ha rapidamente raccolto una serie di registrazioni, ma non è ancora riuscita a trasformarle in un flusso stabile di discussioni significative. L’intersezione delle basi di utenti è enorme e l’attenzione della community non è focalizzata sulle transazioni, ma su questioni fondamentali di fiducia. Sono la trasparenza della gestione, regole chiare su argomenti delicati come gli estorsori, normative di verifica prevedibili e una chiusura onesta della questione dei depositi a determinare chi diventerà il punto di attrazione.

Per ora, è opportuno parlare di una pausa e della ricerca di un nuovo equilibrio, e non di un vincitore.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Multa di 2,95 miliardi di euro per Google per abuso di posizione dominante
Di Redazione RHC - 07/09/2025

La Commissione Europea ha inflitto a Google una multa di 2,95 miliardi di euro, per abuso di posizione dominante nel mercato della pubblicità digitale. L’autorità di regolamentazione ha affermato ...

I Padri Fondatori della Community Hacker
Di Massimiliano Brolli - 06/09/2025

La cultura hacker è nata grazie all’informatico Richard Greenblatt e al matematico Bill Gosper del Massachusetts Institute of Technology (MIT). Tutto è iniziato nel famoso Tech Model Railroad Club...

38 milioni di Numeri di telefono di Italiani in vendita nel Dark Web. E’ che Smishing Sia!
Di Redazione RHC - 06/09/2025

Sette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...