El 22 de julio de 2025, la agencia de policía europea Europol dijo que una investigación de larga data dirigida por la policía francesa resultó en el arresto de un administrador de 38 años de XSS, un foro de delito cibernético en ruso con más de 50,000 miembros. La acción ha desencadenado un frenesí continuo de especulación y pánico entre los habitantes de XSS sobre la identidad del sospechoso sin nombre, pero el consenso es que es una figura fundamental en la escena del foro del crimen que el hacker maneja «Toha». Aquí hay una inmersión profunda en lo que se puede conocer sobre Toha y una breve puñalada sobre quién fue atrapado. Un hombre sin nombre de 38 años fue arrestado en Kiev el mes pasado bajo sospecha de administrar el Foro Cibernético XSS. Imagen: ssu.gov.ua. Europol no nombró al acusado, pero publicó fotos parcialmente oscurecidas de él de la redada en su residencia en Kiev. La agencia de policía dijo que el sospechoso actuó como un tercero de confianza, arbitrar disputas entre delincuentes, y garantizando la seguridad de las transacciones en XSS. Una declaración del Servicio de Seguridad SBU de Ucrania dijo que XSS contó entre sus miembros muchos cibercriminales de varios grupos de ransomware, incluidos Revil, Lockbit, Conti y Qiliin. Desde el anuncio de Europol, el Foro XSS resurgió en una nueva dirección en la web profunda (accesible solo a través de la red de anonimato Tor). Pero al revisar las publicaciones recientes, parece haber poco consenso entre los miembros de toda la vida sobre la identidad del administrador XSS ahora detenido. El comentario más frecuente con respecto al arresto fue un mensaje de solidaridad y apoyo para Toha, el mango elegido por el desde hace mucho tiempo de XSS y varios otros foros rusos importantes. Las cuentas de Tha en otros foros han estado en silencio desde la redada. Europol dijo que el sospechoso ha disfrutado de una carrera de casi 20 años en el delito cibernético, lo que se alinea más o menos con la historia de Tha. En 2005, Toha fue miembro fundador del foro de habla rusa Hack-All. Es decir, hasta que fue pirateado enormemente unos meses después de su debut. En 2006, Tha renombró el foro para explotar[.]En, lo que llevaría a dibujar decenas de miles de miembros, incluido un eventual que Who’s-Who de los cibercriminales deseados. Toha anunció en 2018 que estaba vendiendo el foro de exploit, lo que provocó una especulación desenfrenada en los foros de que el comprador era secretamente una entidad o parte del gobierno ruso o ucraniano. Sin embargo, esas sospechas no estaban respaldadas por la evidencia, y Tha negó con vehemencia que el foro hubiera sido entregado a las autoridades. Uno de los foros de delitos cibernéticos más antiguos en ruso fue Damagelab, que operó de 2004 a 2017, cuando su administrador «AR3S» fue arrestado. En 2018, se reencarnó una copia de seguridad parcial del foro Damagelab como XSS[.]es, con Tha como su administrador declarado. Las pistas de ruptura de sitios cruzados sobre la presencia temprana de Tha en Internet, de ~ 2004 a 2010, están disponibles en los Archivos de Intel 471, una firma de inteligencia cibernética que rastrea la actividad del foro. Intel 471 muestra que Tha usó la misma dirección de correo electrónico en múltiples cuentas del foro, incluso en Exploit, Antichat, Carder[.]Su y[.]Ru. Doma-Domaols.com encuentra la dirección de correo electrónico de Tha, toschka2003@yandex.ru, se utilizó para registrar al menos una docena de nombres de dominio, la mayoría de ellos desde mediados y finales de la década de 2000. Aparte de Exploit[.]en un dominio llamado ixyq[.]com, los otros dominios registrados en esa dirección de correo electrónico terminan en .UA, el dominio de nivel superior para Ucrania (por ejemplo, Deleted.org[.]do, lj.com[.]ua y blogspot.org[.]ua). Una instantánea en 2008 de un dominio registrado en toschka2003@yandex.ru y a Anton Medvedovsky en Kiev. Tenga en cuenta el mensaje en la parte inferior izquierda, «protegido por exploit, adentro». Imagen: Archive.org. Casi todos los dominios registrados en toschka2003@yandex.ru contienen el nombre de Anton Medvedovskiy en los registros de registro, excepto por el mencionado Ixyq[.]com, que está registrado con el nombre Yuriy Avdeev en Moscú. Este apellido Avdeev apareció en una larga conversación con Lockbitsupp, el líder del grupo de afiliados de ransomware rapaz y destructivo Lockbit. La conversación tuvo lugar en febrero de 2024, cuando Lockbitsupp pidió ayuda para identificar la identidad de la vida real de Tha. A principios de 2024, el líder del grupo de ransomware Lockbit, Lockbitsupp, pidió ayuda para investigar la identidad del administrador XSS Toha, que según él era un hombre ruso llamado Anton Avdeev. Lockbitsupp no compartió por qué quería los detalles de Toha, pero mantuvo que el verdadero nombre de Tha era Anton Avdeev. Me negué a ayudar a Lockbitsupp en cualquier venganza que estuviera planeando a Toha, pero su pregunta me dio curiosidad por parecer más profundo. Parece que la consulta de Lockbitsupp se basó en una publicación de Twitter ahora eliminada de 2022, cuando un usuario con el nombre «3xp0rt» afirmó que Toha era un hombre ruso llamado Anton Viktorovich Avdeev, nacido el 27 de octubre de 1983. Buscando la dirección de Toha para Toha Toschka2003@yandex.ru. Honeypo vendía un BMW X5 2007. El AD enumeró a la persona de contacto como Anton Avdeev y dio el número de teléfono de contacto 9588693. Una búsqueda en el número de teléfono 95888693 en el servicio de seguimiento de incumplimiento Constella Intelligence encuentra muchos registros oficiales del gobierno ruso con este número, fecha de nacimiento y el nombre de ANTON VIKTOROVICH AVDEEV. Por ejemplo, los registros del gobierno ruso pirateado muestran que esta persona tiene una identificación fiscal rusa y un pecado (número de seguridad social), y que fueron marcadas por violaciones de tráfico en varias ocasiones por la policía de Moscú; En 2004, 2006, 2009 y 2014. Los lectores astutos pueden haber notado que las edades del Sr. Avdeev (41) y el administrador de XSS arrestados este mes (38) están un poco desactivados. Esto parece sugerir que la persona arrestada es alguien que no sea el Sr. Avdeev, que no respondió a las solicitudes de comentarios. Una mosca en la pared para obtener más información sobre esta pregunta, Krebsonsecurity buscó comentarios de Sergeii Vovnenko, un antiguo ciberdelincuente de Ucrania que ahora trabaja en la startup de seguridad paranoidlab.com. Me puse en contacto con Vovnenko porque durante varios años a partir de 2010 fue el propietario y operador de la seguridad[.]Biz, un servidor de mensajería instantáneo «Jabber» cifrado que Europol dijo que fue operado por el sospechoso arrestado en Kiev. La seguridad[.]Biz se hizo bastante popular entre muchos de los principales ciberdelincuentes de habla rusa porque guardaba escrupulosamente pocos registros de la actividad de sus usuarios, y su administrador siempre fue un miembro confiable de la comunidad. La razón por la que sé este dato histórico es que en 2013, Vovnenko, usando los apodos de los piratas informáticos «Fly» y «Flycracker», tramó un plan para tener un gramo de heroína comprado en el mercado de Silk Road Darknet y enviado a nuestra casa en el norte de Virginia. El esquema consistía en falsificar una llamada de uno de nuestros vecinos a la policía local, diciendo que este tipo Krebs por la calle era un drogadicto que estaba teniendo narcóticos entregados a su casa. Estaba al acecho en el foro privado de delitos cibernéticos de Flycracker cuando se llevó a cabo su plan de heroína, y llamé a la policía antes de que el golpe finalmente llegara al correo estadounidense. Vovnenko fue arrestado más tarde por actividades de delitos cibernéticos no relacionados, extraditado a los Estados Unidos, condenado y deportado después de una estadía de 16 meses en el sistema penitenciario de los Estados Unidos. [on several occasions, he has expressed heartfelt apologies for the incident, and we have since buried the hatchet]. Vovnenko dijo que compró un dispositivo para clonar tarjetas de crédito de Toha en 2009, y que Toha envió el artículo de Rusia. Vovnenko explicó que él (Flycracker) era el propietario y operador de la seguridad[.]Biz desde 2010 hasta su arresto en 2014. Vovnenko cree que esta seguridad[.]Biz fue robado mientras estaba en la cárcel, ya sea por Tha y/o un administrador de XSS que pasó por los apodos n0klos y Sonic. «Cuando estaba en la cárcel, [the] El administrador de xss.is robó ese dominio, o probablemente n0klos compró XSS de Tha o viceversa «, dijo Vovnenko sobre el dominio de Jabber.» Nadie de [the forums] Hablé conmigo después de mi cárcel, así que solo puedo adivinar lo que realmente sucedió «. N0Klos era el propietario y administrador de un foro de delitos cibernético en ruso temprano conocido como DarkLife[.]ws. Sin embargo, N0KL0 también parece ser un residente ruso de toda la vida, y en cualquier caso parece haber desaparecido de los foros de delitos cibernéticos rusos hace varios años. Cuando se le preguntó si cree que Tha fue el administrador de XSS que fue arrestado este mes en Ucrania, Vovnenko sostuvo que Toha es ruso y que «los policías franceses tomaron al tipo equivocado». ¿Quién es Toha? Entonces, ¿a quién arrestó la policía de Ucrania en respuesta a la investigación de las autoridades francesas? Parece plausible que el anuncio de BMW invocara la dirección de correo electrónico de Toha y el nombre y el número de teléfono de un ciudadano ruso simplemente fuera simplemente una mala dirección por parte de Tha, con la intención de confundir y tirar a los investigadores. Quizás esto incluso explica el apellido Avdeev que surge en los registros de registro de uno de los dominios de Tha. Pero a veces la respuesta más simple es la correcta. «Toha» es un apodo eslavo común para alguien con el primer nombre «Anton», y eso coincide con el nombre en los registros de registro de más de una docena de dominios vinculados a Toschka2003@yandex.ru Dirección de correo electrónico: Anton Medvedovskiy. Constella Intelligence encuentra que hay un Anton Gannadievich Medvedovskiy que vive en Kiev que tendrá 38 años en diciembre. Este individuo posee la dirección de correo electrónico itsmail@i.ua, así como una cuenta de Airbnb con una foto de perfil de un hombre con aproximadamente la misma línea de línea que el sospechoso en las fotos borrosas publicadas por la policía ucraniana. El Sr. Medvedovskiy no respondió a una solicitud de comentarios. Mi opinión sobre el derribo es que las autoridades ucranianas probablemente arrestaron a Medvedovskiy. Toha compartió en Damagelab en 2005 que había terminado recientemente el 11º grado y estudiaba en una universidad, una época en que Medovskiy habría tenido alrededor de 18 años. El 11 de diciembre de 2006, otros miembros de Exploit desearon un feliz cumpleaños a Tha. Los registros expuestos en un truco de 2022 en el portal de servicios públicos ucranianos Diia.gov.UA muestran que el cumpleaños del Sr. Medvedovskiy es el 11 de diciembre de 1987. La acción de aplicación de la ley y la confusión resultante sobre la identidad de los detenidos han lanzado la escena del foro de cibercreres ruso en el desarray en desarray en las últimas semanas, con argumentos extensos y calentados sobre los futuros de XSS a través de los futuros de los Foros de los Foros. XSS se relanzó en una nueva dirección de TOR poco después de que las autoridades enlucieron su aviso de incautación en la página de inicio del foro, pero todos los moderadores de confianza del antiguo foro fueron despedidos sin explicación. Los miembros existentes vieron que los saldos de su cuenta del foro cayeron a cero, y se les pidió que debilitaran un depósito para registrarse en el nuevo foro. El nuevo XSS «Admin» dijo que estaban en contacto con los propietarios anteriores y que los cambios fueron para ayudar a reconstruir la seguridad y la confianza dentro de la comunidad. Sin embargo, las garantías del nuevo administrador parecen haber hecho poco para calmar los peores temores de los antiguos miembros del foro, la mayoría de los cuales parecen estar alejados del sitio relanzado por ahora. De hecho, si hay una comprensión común en medio de todas estas discusiones sobre la incautación de XSS, es que las autoridades ucranianas y francesas ahora tienen varios años de mensajes privados entre los usuarios del foro XSS, así como las listas de contacto y otros datos de usuarios vinculados al servidor Jabber incautado. «El mito de la» persona de confianza «está destrozada», advirtió el usuario «Gordonbellford» el 3 de agosto en un hilo de foro de exploit sobre el arresto administrativo de XSS. «El foro está ejecutado por extraños. Obtienen todo. Dos años de registros de servidor Jabber. Copia de seguridad completa y base de datos del foro». Gordonbellford continuó: y lo más aterrador es: esta matriz de datos no es solo un archivo. Es material para el análisis que ya se ha realizado. Con la ayuda de las herramientas modernas, ven todo: gráficos de sus contactos y actividades. Relaciones entre apodos, correos electrónicos, hashes de contraseña e ID de jabber. Etimestamps, direcciones IP y huellas digitales. No están buscando una aguja en un pajar. Simplemente tamizaron el pajar a través del tamiz Ai y obtuvieron expedientes preparados.