Разборка в даркнете: XSS тонет в скамах, рынки перетекают

Арест предполагаемого администратора русскоязычного форума XSS[.]is с ником Toha стал точкой бифуркации для всего подпольного рынка. По данным правоохранителей, 22 июля 2025 года в Украине задержан 38-летний мужчина в рамках расследования, которое несколько лет вели французская полиция, Europol и украинские службы. Следствию он интересен как организатор торговли вредоносными инструментами, базами данных и нелегальными доступами, а также как бенефициар схем с выкупным ПО. Оценка возможной прибыли звучит громко и вызывает споры, но фигурирует сумма свыше семи миллионов евро. Сам форум XSS работает с 2013 года и когда-то назывался DaMaGeLaB. Его позиционировали как площадку с репутационными механизмами и жёстким табу на атаки по странам СНГ. Toha в среде считают ветераном с двухтысячных, выходцем из старых площадок вроде Hack-All и Exploit[.]in, причастным к перезапуску DaMaGeLaB под брендом XSS в 2018 году после ареста прежнего админа с ником Ar3s. Исследователи связывают Toha с именем Антон Авдеев, но официальных подтверждений от силовиков пока нет, что объясняют продолжающимися следственными действиями и попытками идентифицировать других участников.

Задержание ударило не только по имиджу XSS, но и по привычной логике доверия. Публичный домен в открытом интернете быстро оказался недоступен, однако onion-зеркало оставалось на месте. На форуме началась нервная «уборка» старых веток, модераторы надолго замолчали, а пользователи стали спорить о том, кто контролирует инфраструктуру. Третьего августа новый администратор объявил, что все сервисы перенесены на другие серверы, запущены новые адреса в clearweb и даркнете, а бэкенд и Jabber якобы не перехвачены. Он утверждал, что ещё 27 июля сообщил модераторам в закрытой теме о текущем статусе, но те проигнорировали обращение. По этой версии, часть модераторов покинула проект и подняла собственный onion-форум с названием DamageLib, параллельно рассылая личные приглашения пользователям XSS и утверждая, что старый сайт полностью под контролем полиции.

Именно DamageLib стал главным бенефициаром первой волны миграции. К 27 августа там зарегистрировались 33 487 аккаунтов, то есть почти две трети базы XSS, где числится 50 853 пользователя. При этом оживлённой дискуссии не случилось. За первый месяц на DamageLib появилось 248 тем и 3107 сообщений, тогда как на XSS в последний полноценный месяц до изъятия домена фиксировались свыше 14,4 тысячи публичных постов. Другая заметная реакция рынка проявилась в статистике трафика. По SimilarWeb, Exploit получил всплеск почти на 24 процента в период наивысшей турбулентности вокруг XSS, пик пришёлся на 24 июля, затем посещаемость пошла на спад к обычным значениям, а у XSS просела. Пользователи демонстративно избегают нового домена XSS[.]pro в открытом интернете, и важно помнить, что речь идёт именно о clearweb-трафике.

Смена команды XSS добавила масла в огонь. Старых модераторов забанили, на их место поставили ники Flame, W3W и locative. Репутация первых двух на площадке была почти нулевой, что вызвало бурную реакцию. Начались споры и блокировки за критические комментарии, опытные участники исчезли из обсуждений или стали писать реже. Чтобы снизить градус, администратор привлёк к модерации известного фигуранта подполья под ником Stallman, активного на Exploit, XSS, RAMP, Rutor и Runion. В отдельном посте от 18 августа утверждалось, что Stallman де-факто руководит сообществом по теме вымогательского ПО и будет курировать разделы продавцов и утечек. Это немедленно вернуло к старому конфликту времён Toha, когда на XSS забанили LockBit после личных угроз в адрес администрации. На форуме стали проскакивать призывы вернуть аватар LockBit, а комментаторы стали обсуждать, не ослабит ли новая команда прежний запрет на разговоры о вымогателях. Подтверждений такой смены курса нет, но сам факт назначения Stallman подогрел подозрения.

Кризис доверия усилила история с депозитами. На XSS они играли роль финансового якоря репутации, и после ареста вопрос «кто и как вернёт деньги» стал центральным. Пользователи оценивают суммарные обязательства в 50–55 биткоинов, что на конец августа тянет примерно на 6,17 миллиона долларов. Новый администратор признал, что на полное погашение средств нет, и вынес на голосование несколько вариантов частичных выплат. В обсуждении лидировала идея рассчитаться равным процентом от суммы с каждым, кто успел подать заявку на вывод, за неё набралось около 40,8 процента голосов. В отдельной сводке фигурировали оформленные запросы на 7,015942 BTC и 480,527 LTC, пересчитанные примерно в 788 тысяч и 54,7 тысячи долларов. Двадцать восьмого августа администратор сообщил, что перевёл пропорциональные суммы заявителям, и некоторые адресаты это публично подтвердили. Параллельно участники жаловались, что торговые разделы захлестнул поток предложений от новичков без проверки, а объявления, нацеленные на страны СНГ, вернулись без должной модерации, хотя раньше это запрещалось правилами.

На DamageLib тем временем формировалась собственная модель доверия. В первые недели модераторы cryptocat, fenix, sizeof, zen, stringray, rehub и другие просили новоприбывших не использовать старые ники, чтобы снизить риски атрибуции. Позже команда заявила о «призрачных аккаунтах». По их задумке, это резерв известных имён с последующей верификацией, чтобы прежние владельцы могли вернуть ники и накопленную репутацию. Механизм вызвал вопросы, но шли сообщения, что отдельные участники уже восстановили личности. В дискуссии о легитимности модераторов приводили переписку с командой Exploit. Пользователь под ником Fax ссылался на сообщение модератора Exploit по имени Quake3, где подтверждается, что именно бывшая команда XSS стоит за запуском DamageLib. Параллельно на обеих площадках замечали старые ники вроде antikrya и Ar3s, хотя верификация их на DamageLib не всегда возможна. Сам Stallman зарегистрировался на DamageLib как Stallman2 27 августа и утверждает, что продолжает модерировать XSS[.]pro лишь ради возврата депозита, при этом называет XSS проектом под контролем полиции.

Технический контур XSS тоже менялся на лету. Администратор заявлял о сотрудничестве с командой darkcode.technology, которая под форумным ником DCT представлялась разработчиком и провайдером анти-DDoS-решения Ghost FastFlux для новых адресов в clearweb и даркнете. По их словам, технология проходит тесты и теоретически может стать продуктом, но на продажу её не предлагают. На пользовательском уровне это мало повлияло на ощущение порядка. Рынок продолжал работать, но всё больше объявлений выглядели как некачественные и мошеннические, а попытка ввести платную подписку ради фильтрации спама быстро сошла на нет. В ветках обсуждений звучали идеи убрать коммерческий раздел совсем. На DamageLib параллельно спорили, стоит ли разрешать разговоры о вымогателях. Преобладали осторожные «за», что отражает попытку перехватить повестку там, где XSS то ли не может, то ли не решается дать ясный ответ.

Остаётся слой личностей и символов, который в подполье всегда важнее интерфейсов. Пользователи открыто переживают исчезновение старых авторитетов и отмечают редкие появления никнеймов наподобие c0d3x, lisa99, stepany4, proexp, а также пишут, что невозможно проверить, когда другие известные участники в последний раз заходили в аккаунты. Недоверие усиливают точечные баны за критические посты и сама неопределённость вокруг того, кто и зачем принимает решения. На этом фоне часть аудитории держит в уме запасные пути вроде Exploit, RAMP и Verified, хотя и здесь не обходится без слухов о «приманках» и внешнем контроле.

Если смотреть на картину целиком, XSS[.]pro выглядит площадкой с деградирующим качеством торговли, болезненной финмеханикой и не до конца понятной мотивацией новой администрации. DamageLib быстро собрал массив регистраций, но пока не превратил его в устойчивый поток содержательных обсуждений. Пересечение пользовательских баз огромно, и внимание коммьюнити сосредоточено не на сделках, а на базовых вопросах доверия. Именно прозрачность управления, ясные правила по чувствительным темам вроде вымогателей, предсказуемый регламент верификации и честное закрытие депозитного вопроса определят, кто станет точкой притяжения. Пока же уместно говорить о разломе и поиске нового баланса, а не о победителе.