A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su rete TOR. Nessun avviso ufficiale, nessuna comunicazione dagli amministratori. Solo silenzio ed il laconico “No such device or address” sul sito checkhost.
Le prime ipotesi circolano da qualche ora su X (ex Twitter) da alcuni noti profili del settore OSINT e threat intelligence. Il post più interessante arriva da LEAKD, che suggerisce l’esistenza di un documento classificato dell’FBI che menzionerebbe un’operazione sotto copertura denominata Operation Spectral Tango. Secondo la ricostruzione, si tratterebbe di una manovra coordinata per prendere il controllo del forum e monitorare dall’interno le attività criminali in corso, trasformando de facto BreachForums in un honeypot federale.
Nel documento – che non è stato confermato ufficialmente ma che circola da ore nelle board russe – si accenna a un coinvolgimento diretto del Federal Bureau of Investigation in collaborazione con partner internazionali, con lo scopo di profilare, tracciare e identificare i key players nel mercato nero digitale.
Approfondiamo la questione con un’ipotesi che circola: IntelBroker arrestato?
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Abbiamo provato ad approfondire ed in particolare su “Cracked” – un forum recentemente tornato attivo – emergono dettagli ancora più pesanti. Nella chat board, decine di utenti confermano (meglio dire ipotizzano) l’arresto di IntelBroker, uno degli amministratori di BreachForums.
IntelBroker era noto per aver pubblicato leak clamorosi, inclusi documenti militari e sanitari statunitensi, e negli ultimi mesi era diventato un punto di riferimento nel forum. La sua assenza improvvisa, insieme al down completo del sito, rende plausibile lo scenario di un’operazione repressiva in corso.
Cosa si dice nel gruppo Jacuzzi
Il gruppo Jacuzzi, covo noto dei criminali informatici che frequentano Breach Forums, nella giornata di oggi si è ravvivato mostrando moltissimi messaggi inerenti la mancata raggiungibilità di breach Forums.
Un utente luna ha riportato “Questo è solo l’inizio, nuovi arresti pioveranno, dopo mesi scoprirete la verità. Per ora posso solo dire che il forum tornerà presto, il circo sta per riempirsi di comici.”
Nel mentre altri criminali informatici, nel covo dei criminali pubblicizzano ulteriori forum underground o canali telegram per migrare gli utenti di breach forums. Ma di questo modo di agire ne abbiamo parlato molto tempo fa quando alcuni forum underground vollero prendere il posto di Raidforums e poi Breachforums, senza riuscire nell’intento.
Altre evidenze: la nascita del canale telegram BreachForumsV4
Approfondendo le nostre ricerche ci imbattiamo in un canale telegram che sembra essere creato ad-hoc per dare aggiornamenti sulla vicenda ma contemporaneamente per “pubblicizzare” la nascita di un nuovo dominio breachforums.cc battezzato “BreachForums V4”. Sul canale un unico messaggio pubblicato alle 12:39 del 15 aprile:
“IntelBroker arrested. No other infos yet. Stay tuned, I’ll share some good infos. – new domain o breachforums.cc”
Il dominio breachforums.cc è effettivamente online. Si presenta come un’istanza “V4” del forum, ma con registrazioni chiuse e accesso solo tramite pagamento. Per unirsi, si viene invitati a contattare un utente identificato come BAPCOMET.
Al momento non è possibile verificare con certezza se si tratti di una vera migrazione, di un tentativo di truffa o – ipotesi più inquietante – di un progetto controllato da forze dell’ordine.
Questo è uno scenario in evoluzione, e come tale va trattato. Se confermato, sarebbe il secondo grande smantellamento del forum dopo la chiusura del predecessore RaidForums e l’arresto di Pompompurin. Ma la domanda resta sempre la stessa: quando un forum underground muore, è davvero morto… o sta solo cambiando pelle?
Stay tuned – aggiorneremo questo articolo con ulteriori sviluppi.
Luca Stivali Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.
Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...
Immagina di aprire, come ogni sera, il bookmark del tuo forum preferito per scovare nuove varianti di stealer o l’ennesimo pacchetto di credenziali fresche di breach. Invece della solita bachec...
Il 22 luglio 2025, Mozilla ha rilasciato Firefox 141, un aggiornamento volto a migliorare la sicurezza del browser. Nell’ambito del Bollettino MFSA 2025-56, sono state risolte 18 vulnerabilit&#...
Luca Stivali
