Europol heeft maandag de arrestatie aangekondigd van de vermoedelijke beheerder van Xss.is (voorheen Damagelab), een berucht Russisch sprekend cybercriminaliteitsplatform.
De arrestatie, die plaatsvond in Kiev, Oekraïne, op 222225 juli 2025, werd geleid door de Franse politie en de officier van justitie in Parijs, in samenwerking met de Oekraïense autoriteiten en Europol. De actie is het resultaat van een onderzoek dat in juli 2021 door de Franse politie is gestart.
In combinatie met de arrestatie heeft wetshandhaving ook de controle overgenomen over het Clearnet -domein van XSS.is, die bezoekers begroet met een aanval: “Dit domein is in beslag genomen door La Brigade de Lutte Contre La Cybercriminalité met hulp van de SBU -cyberafdeling.”
“Het forum, dat meer dan 50.000 geregistreerde gebruikers had, diende als een belangrijke marktplaats voor gestolen gegevens, hacktools en illegale diensten,” zei de wetshandhavingsinstantie. “Het is al lang een centraal platform voor enkele van de meest actieve en gevaarlijke cybercriminale netwerken, gebruikt om te coördineren, adverteren en werven.”
De beheerder van het forum zou naast de technische activiteiten van de service criminele activiteiten hebben mogelijk gemaakt door op te treden als een vertrouwde derden om geschillen tussen criminelen te arbitreren en de veiligheid van transacties te garanderen.
De naamloze persoon wordt ook verondersteld de opzekering te hebben uitgevoerd. Biz, een privé -berichtenplatform dat speciaal is gebouwd om tegemoet te komen aan de behoeften van cybercriminelen. Door deze illegale ondernemingen wordt de verdachte naar schatting € 7 miljoen ($ 8,24 miljoen) aan winst gemaakt van advertenties en facilitatiekosten.
“Onderzoekers zijn van mening dat hij al bijna twee decennia actief is in het cybercrime -ecosysteem en in de loop der jaren nauwe banden met verschillende grote dreigingsactoren heeft gehandhaafd,” voegde Europol toe.
Volgens de officier van justitie in Parijs is XSS.is sinds 2013 actief, als hub voor al deze cybercriminaliteit, variërend van toegang tot gecompromitteerde systemen en ransomware-gerelateerde diensten. Het bood ook een gecodeerde Jabber Messaging -server die cybercriminelen anoniem liet communiceren.
XSS.IS heeft samen met exploit gediend als de ruggengraat van het Russisch sprekende cybercrimineel ecosysteem, waarbij de dreigingsacteurs op deze forums voornamelijk niet-Russisch sprekende landen uitkiezen. Uit gegevens gedeeld door Kela blijkt dat XSS momenteel 48.750 geregistreerde gebruikers en meer dan 110.000 threads heeft.
“Om illegale transacties te vergemakkelijken, heeft het forum een ingebouwd reputatiesysteem,” zei Kela. “Leden kunnen een door de forum aangestelde escrow-service gebruiken om ervoor te zorgen dat deals zonder oplichting worden voltooid, en een aanbetaling toevoegen, die bijdragen aan hun reputatie.”
De ontwikkeling komt een week nadat een door de door Europese geleide operatie de online infrastructuur verstoorde die verband hield met een pro-Russische hacktivistische groep die bekend staat als NonAme057 (16) en de arrestatie van twee mensen voor het uitvoeren van gedistribueerde Denial-of-Service (DDOS) -aanvallen tegen Oekraïne en haar bondgenoten met behulp van een vrijwilligerswerk genaamd Ddosia.
Opgenomen in de Insikt Group van Future zei in een rapport dat deze week werd gepubliceerd, zei dat de groep zich richtte op 3.776 unieke gastheren tussen 1 juli 2024 en 14 juli 2025, voornamelijk overheid, publieke sector, transport, technologie, media en financiële entiteiten in Europese naties die zich verzetten tegen de Russische invasie van Oekraïen.
Oekraïense organisaties waren verantwoordelijk voor het grootste aandeel doelen (29,47%), gevolgd door Frankrijk (6,09%), Italië (5,39%), Zweden (5,29%), Duitsland (4,60%), Israël (4,50%), Tsjechië (4%), Polen (4%) en de Verenigde Koninkrijk (3.30%). De Verenigde Staten zijn een opmerkelijke uitsluiting, ondanks de steun voor Oekraïne.
Een uitgebreide analyse van de infrastructuur van NONAMe057 (16) heeft een veerkrachtige, meerlagige architectuur gelegd die bestaande uit snel geroteerde Tier 1 command-and-control (C2) -servers en Tier 2-servers beschermd door Access Control Lists (ACL’s) om de toegang tot de hogere C2-functionaliteit te beperken. Maar liefst 275 unieke Tier 1 zijn geïdentificeerd gedurende de periode.
“De dreigingsgroep handhaaft een hoog operationeel tempo, gemiddeld 50 unieke doelen dagelijks, met intense bursts van activiteit die correleert met geopolitieke en militaire ontwikkelingen in Oekraïne,” zei het Cybersecurity Company van MasterCard.
“Noname057 (16) maakt gebruik van een combinatie van netwerk- en applicatielayer DDoS-aanvallen, het selecteren van methoden die zijn ontworpen om serverbronnen te overweldigen en de beschikbaarheid te verstoren. De aanvalsmethode van de bedreigingsgroep is eenvoudig maar effectief, met prioriteit geven aan hoogvolume overstromingen en technieken voor het uitputting van hulpbronnen.”
