Доклад Михаила Алексеенко из PT Cyber Analytics был посвящён теме, вокруг которой в европейском и СНГ-сообществе давно существовало больше вопросов, чем ответов: есть ли у китайцев собственные хакерские форумы, где они торгуют доступами, базами данных, malware и услугами, и если есть, то почему их почти не видно извне.
Короткий ответ по итогам исследования: да, такая инфраструктура существует, но она устроена не так, как привычные европейские и СНГ-хакерские бизнес-форумы. В Китае тёмная инфраструктура заметно разнесена по разным средам. Продажи живут на Tor-маркетах, обучение — на clearnet-форумах, а обсуждения, поиск контактов, рекрутинг и часть сделок утекают в мессенджеры, прежде всего Telegram. При этом китайская специфика не сводится к языковому барьеру: на неё повлияли Great Firewall, Golden Shield, ранняя история патриотических хакерских группировок, активность киберполиции и культурная закрытость сообщества.
Почему Китай остаётся слепой зоной
Интерес к китайскому дарквебу возник не на пустом месте. На европейских и СНГ-хакерских форумах вопрос о китайских площадках поднимался годами. По словам спикера, только на одном из таких форумов нашлось около восьми тем, где участники спрашивали, существуют ли китайские форумы, как на них попасть и где вообще искать китайскую теневую инфраструктуру.
Ответы обычно были расплывчатыми. Одни утверждали, что форумов нет и всё ушло в мессенджеры. Другие говорили, что площадки есть, но они закрытые и доступны только по приглашениям. Третьи признавали наличие какого-то рынка, но без ссылок, названий и внятной структуры. Эта неопределенность и стала одной из причин исследования.
Вторая причина — сама архитектура китайского интернета. Китайский сегмент воспринимается как пространство "для своих": этому способствуют Great Firewall of China, языковой барьер и культурная дистанция. Многие китайские пользователи не знают английский, а бизнес и коммуникации предпочитают вести с другими китайцами или знакомыми посредниками. В результате китайская киберпреступная и околохакерская среда слабо просматривается через привычные для исследователей европейские каналы.
От красных хакеров к закрытым форумам
Историю китайского дарквеба Михаил предлагает отсчитывать примерно с 1998 года. Тогда появились первые публичные китайские хакерские группировки: Honker Union, Wicked Rose и China Eagle. Они относили себя к движению "красных хакеров" и действовали с патриотической мотивацией. В конце 1990-х и начале 2000-х такие группы атаковали западную инфраструктуру, а сообщения об их операциях расходились по китайским СМИ.
Вокруг этих группировок начали формироваться первые китайские хакерские форумы. Изначально они были связаны с самими группами или находились под их покровительством. На них сосуществовали две функции, которые позже разойдутся по разным слоям инфраструктуры: обучение и торговля. Новичков учили базовым вещам — от операционных систем до эксплуатации уязвимостей, а рядом продавались доступы, malware, эксплойты и связанные с хакингом услуги.
В 2003 году китайское правительство запустило проект Golden Shield, более известный как Great Firewall of China. После этого, к 2004 году, первые группы и форумы закрылись либо ушли в тень. Но аудитория никуда не исчезла: люди, которые успели обучаться, общаться и вести теневой бизнес, остались без прежних публичных площадок.
С 2004 по 2020 год начался период поиска новых форматов. Форумов становилось больше, появлялись закрытые площадки, частные чаты и предложения формата hacker-for-hire. В 2005 году китайская киберполиция публично заявила, что внедрилась в форум, чаты и мессенджеры группировки Shadow и прикрыла её. По словам спикера, подобные заявления стали регулярными, а эффект был предсказуемым: незаконная часть постепенно уходила в закрытые чаты, платные платформы и форумы по приглашениям.
Публичный слой при этом не исчез, но изменил функцию. В clearnet остались в основном обучающие площадки: программирование, базовая безопасность, атаки в учебном контексте, CTF и другие относительно "лайтовые" темы.
Silk Road и китайский рывок в Tor
Следующий важный этап связан с популяризацией Tor-сайтов и платежей в Bitcoin после истории Silk Road. На этом фоне с 2013 по 2019 год начался активный рост китайских дарквеб-площадок.
В Tor появлялись площадки разной направленности: от форумов с книгами до маркетов и ресурсов с запрещённым контентом. Среди значимых для темы доклада Михаил выделяет Dark Web Chinese Forum, Alibaba Market и UCEM. Dark Web Chinese Forum был скорее не чистым хакерским форумом, а marketplace для серых и незаконных услуг: hacker-for-hire, продажа баз данных и похожие предложения. Alibaba Market занимался другими незаконными услугами, например оформлением банковских карт на людей. UCEM работал как кардерский форум: обучение кардеров и продажа ворованных карт.
В мае 2020 года прозвучало первое заметное заявление о закрытии китайской полицией даркнет-маркетплейса, где размещался запрещённый в Китае порнографический контент. На тот момент, по словам спикера, у площадки было около 60 тысяч пользователей. После этого примерно за два года закрылось около 85% тёмных форумов и маркетов. Часть площадок официально объявила о закрытии, часть была закрыта полицией, а многие просто ушли в тень. Среди закрытых или исчезнувших площадок назывались Alibaba Market, UCEM, Tea Horse Road Market и Loulan City Market.
Эта волна важна для понимания текущей картины: китайская инфраструктура не стала публичнее и понятнее. Наоборот, после 2020 года она стала более осторожной, фрагментированной и зависимой от закрытых каналов.
Три хакерских маркета вместо привычного бизнес-форума
В актуальном для исследования периоде, 2023-2026 годов, Михаил выделяет три китайские дарквеб-площадки, связанные именно с хакингом: Chang'an Never Sleeps City, Dark Web Chinese Forum и Free City.
Все три площадки по сути являются маркетами. На каждой есть от 10 до 20 разделов или тематических категорий: услуги, базы данных, malware, эксплойты и другие типы лотов. Даже Dark Web Chinese Forum, несмотря на слово "forum" в названии, по наблюдениям спикера работает скорее как хакерский маркет: разделы по хакингу и разработке malware переполнены рекламой услуг, цен и предложений.
Главные тренды на этих маркетах выглядят так:
- Криптовалюта. Она необходима для расчётов на площадках и для обслуживания незаконной активности. Вокруг этого возникает отдельный рынок услуг: оформление кошельков, отмывание средств, вывод в юани.
- Продажа баз данных и утечек. На одном маркете только в одном разделе было 1020 страниц по 10 лотов, то есть около 10 200 предложений. При этом сам маркет открылся в 2023 году.
- Malware и эксплойты. Этот сегмент меньше по объёму, но дороже. Цены на эксплойты часто не указываются: вместо них встречается PO, price on request. Среди malware, по наблюдению спикера, китайские продавцы особенно любят Android RAT.
По выборке около 500 актуальных лотов с базами данных спикер также оценивал географию утечек. В топе оказались США, Индия и Китай, затем Вьетнам и Бангладеш. Это не обязательно означает, что именно эти страны чаще всего атакуются в целом, но показывает, какие базы данных активно продавались в исследованной выборке.
Как устроена экономика китайских маркетов
Бизнес-модель трёх маркетов похожа. При регистрации пользователю создаётся внутренний криптокошелек. Его можно пополнять в Bitcoin, Ethereum и USDT. После трёх пополнений адрес кошелька обновляется, при этом средства сохраняются. Такая ротация адресов добавляет площадке и пользователю слой анонимности при вводе и выводе криптовалюты.
Вывод средств облагается комиссией от 0,2% до 3% в зависимости от криптовалюты и конкретной площадки. Покупки проходят через автоматизированную внутреннюю систему: продавец размещает лот, площадка проверяет описание и сам товар, после чего лот попадает на маркет. Покупатель добавляет товар в корзину, оплачивает его с внутреннего баланса, а результат автоматически доставляется в личный кабинет. В такой схеме не нужны ни гарант, ни прямой контакт покупателя с продавцом.
Free City выделяется более развитой моделью. Помимо криптовалютных выводов, на этой площадке, по словам спикера, есть вывод на банковскую карту, Alipay и WeChat. Минимальный вывод на банковскую карту составляет 50 тысяч юаней, то есть больше полумиллиона рублей. Для такого вывода нужно указывать персональные данные: имя, банковский номер и другую информацию. Спикер предполагает, что подобные операции, вероятно, оформляются на подставных людей, но сам факт банковского вывода на даркнет-маркете выглядит необычно.
У Free City есть и Telegram-контур. В Telegram-группу сыпятся лоты и новые предложения. По лоту можно перейти в Telegram-бота, получить описание товара и купить его прямо через бота. Деньги списываются с того же внутреннего кошелька платформы, а товар доставляется через платформу. Telegram здесь не заменяет маркет, а становится дополнительным интерфейсом к нему.
Цены на китайских маркетах, по выборке спикера, ниже, чем на европейских и СНГ-форумах. Для приватных баз данных объёмом более 500 тысяч строк средняя цена на китайских рынках составила около 410 долларов, а на европейских и СНГ-форумах — около 808 долларов. Одно из объяснений — большое количество перепродаж публичных баз. В докладе приводился пример базы американского сервиса BitMart, которая, по словам спикера, утекла в открытый доступ в июле 2025 года, но в Китае продавалась за 100 долларов.
Не только хакинг: широкий тёмный слой
Хакерские маркеты — не вся китайская дарквеб-инфраструктура. В Tor есть больше площадок, просто не все они относятся к хакингу. Спикер упоминал ресурсы с книгами, стихами, запрещённым контентом, а также две особенно показательные категории: платформу для найма хакеров и форум для обсуждения любых нелегальных тем.
Последний выглядел как универсальная площадка примерно с 50 разделами. В качестве примера Михаил приводил тему "Как избежать наказания за убийство в Китае", где пользователи с разными уровнями аккаунтов обсуждали, как избежать ответственности или уехать из страны. Для security-аудитории это важное наблюдение: китайский dark web не ограничивается рынком доступов и malware, но хакерский сегмент внутри него организован отдельно и намного менее похож на привычный "чёрный форум".
CTF, обучение и подготовка кадров
Если тёмная часть ушла в маркеты и закрытые каналы, то публичная часть китайской хакерской экосистемы осталась образовательной. В докладе это описано как наследие трансформации форумов после давления государства и ухода незаконной торговли в закрытый формат.
Современные китайские clearnet-форумы посвящены обучению: операционные системы, программное обеспечение, работа с антивирусами, базовые атаки и особенно CTF. По словам спикера, в Китае очень сильная CTF-сцена, а на таких форумах CTF часто оказывается темой номер один. В рамках исследования было найдено более 40 активных clearnet-форумов, посвящённых обучению хакингу.
При этом остаются и площадки старого формата, где обсуждения выглядят более подпольно: bypass защитных средств, эксплуатация XSS, SQL injection и другие атакующие техники. Но общий вывод остаётся тем же: публичный слой в Китае выполняет функцию подготовки и обмена знаниями, а не роль универсального криминального бизнес-форума.
Рекрутинг и тесты на вход
Большое количество обученных людей создаёт спрос на рекрутинг. На даркнет-площадках и в Telegram встречаются объявления об услугах и наборе в хакерские группы. В одном примере человек предлагал за 300 долларов получить доступ к аккаунту на целевой площадке. Но чаще, по словам спикера, встречался поиск пентестеров и хакеров в китайские группировки.
Один кейс из исследования особенно хорошо показывает механику доверия. Михаил написал по контакту из объявления, представившись хакером из России, который хочет вступить в группу. Рекрутер спросил о кейсах, получил несколько вымышленных примеров и затем отправил пять онлайн-казино, базировавшихся в Бангладеш, с задачей достать базу данных. После этого, по словам рекрутера, кандидата могли бы добавить в чат.
Спикер ничего не взламывал и ничего не передавал, но сам сценарий выглядит как тестовое задание для входа в группу. Этот эпизод также привёл к вопросу о таргетах. По поиску в открытых и закрытых чатах в топе обсуждений оказались Бангладеш, Индия, Тайвань, Таиланд и немного Малайзии. Почему именно Бангладеш, спикер в Q&A сформулировал осторожно: точного ответа он не нашёл; возможны исторические причины, личные неприязни или слабая защищённость систем.
Ransomware: меньше публичности, больше тени
Отдельный блок доклада был посвящён шифровальщикам. В Китае Михаил выделяет одну явно китайскую известную ransomware-группировку — Storm-2603. Она начала деятельность в начале прошлого года относительно даты доклада, сначала сотрудничала с Black Basta, а затем в начале года создала собственный шифровальщик Warlock и стала самостоятельным игроком.
У Storm-2603 есть блог, где публикуются заявления об атаках и таймеры для жертв: если компания не платит выкуп, данные обещают выложить. Но китайская ransomware-картина, по словам спикера, может быть менее публичной, чем европейская или СНГ. В Q&A он отдельно отметил, что многие группировки или вымогатели могут действовать без публичных блогов: взламывать, отправлять письмо жертве, требовать деньги и не раскрывать атаку публично.
Для threat intelligence это важное ограничение наблюдаемости. Если ориентироваться только на публичные leak-блоги, китайская активность может выглядеть скромнее, чем есть на самом деле. Но доклад фиксирует именно проверяемую видимую часть: одна явно китайская известная ransomware-группа и менее публичные мелкие схемы, которые сложнее описывать и отслеживать.
Китай против Европы и СНГ: разные архитектуры теневого рынка
Главное отличие китайской инфраструктуры от европейской и СНГ-модели — отсутствие знакомого "чёрного форума" как универсального центра. В Европе и СНГ хакерские бизнес-форумы закрывают почти весь спектр тем: продажу утечек и логов стилеров, публикации сливов, доступы к компаниям, 0/1-day уязвимости и эксплойты, обучение, обсуждение атак, malware, OSINT, cracking tools, пиратское ПО, анализ вирусов и рекрутинг.
В Китае эта матрица распадается на несколько слоев:
| Тема | Европа/СНГ-форумы | Китайский clearnet | Китайский dark web | | --- | --- | --- | --- | | Продажа утечек и логов стилеров | Да | Нет | Да | | Публикации утечек | Да | Нет | Нет | | Продажа доступов к компаниям | Да | Нет | Нет | | 0/1-day уязвимости и эксплойты | Да | Да | Да | | Обучение методам атак, crypto и похожим темам | Да | Да | Да | | Обсуждение методов атак | Да | Да | Нет | | Продажа malware | Да | Нет | Да | | OSINT | Да | Нет | Нет | | Cracking tools и пиратское ПО | Да | Да | Нет | | Анализ вирусов | Да | Да | Нет | | Рекрутинг хакеров | Да | Нет | Да |
По словам спикера, он пытался найти в Китае площадки, похожие на европейские хакерские бизнес-форумы, где одновременно обсуждаются нелегальные темы, хакинг, продажи и обучение. Найти такие площадки не удалось. При опросе китайских контактов большинство отправляло его на обучающие форумы, а один человек прямо сказал, что сидел на европейских форумах и что подобного в Китае не найти.
Оставшиеся темы уходят в две стороны: малая часть китайских пользователей добирается до европейских и СНГ-форумов, а большая часть сидит в Telegram.
Telegram как поисковый слой китайского подполья
Telegram стал важной частью китайской теневой инфраструктуры примерно с 2022 года. За несколько лет вокруг него возникла собственная система поиска: чаты с десятками тысяч пользователей, иногда до 100 тысяч, где пользователь пишет запрос, а бот возвращает список каналов и чатов.
Так можно искать новости, нелегальные услуги, продажи malware, разработку malware и другие темы. Спикер находил группы, где продавали Android RAT, а также чаты, где обсуждали разработку malware и эксплуатацию компонентов драйверов. В этой модели Telegram не просто мессенджер для общения, а навигационный слой, который связывает людей, каналы, ботов, маркеты и закрытые группы.
Это ещё одно отличие от европейской и СНГ-модели. Там Telegram тоже используется, но в основном как дополнение к бизнес-форумам. В Китае же он компенсирует отсутствие единого "чёрного форума" и собирает вокруг себя темы, которые не помещаются в жёстко разделённую структуру clearnet-обучения и Tor-маркетов.
Что это значит для threat intelligence
Для исследователя китайская тёмная инфраструктура сложна не потому, что её нет, а потому, что она плохо видна привычными методами. Если искать только аналоги европейских форумов, можно решить, что рынок почти отсутствует. Если смотреть только Tor-маркеты, выпадут обучение, рекрутинг и обсуждения. Если анализировать только Telegram, потеряется формальная экономика маркетов с внутренними кошельками, автоматической доставкой товаров и комиссиями.
Рабочая модель, которую предлагает доклад, выглядит так:
- Китайский dark web — это прежде всего Tor-маркеты для незаконных продаж.
- Китайский clearnet — это в основном обучение, CTF и подготовка специалистов.
- Telegram и мессенджеры соединяют разрозненные темы, дают поиск, рекрутинг и дополнительные интерфейсы к сделкам.
- Небольшая часть китайских пользователей присутствует на европейских и СНГ-форумах, но это не основной слой китайской инфраструктуры.
- Ransomware-наблюдаемость в Китае ограничена: видимая публичная часть меньше, а непубличное вымогательство может не попадать в привычные трекеры.
Для security-аудитории это означает, что мониторинг китайского сегмента нельзя строить по одной витрине. Нужна комбинация источников: Tor-маркеты, clearnet-форумы, Telegram-поиск, закрытые группы, лоты по базам данных, объявления о рекрутинге и пересечения с европейскими площадками. Важна и осторожность в интерпретации: низкая публичность не равна низкой активности.
Вывод
Китайская тёмная инфраструктура не является зеркалом европейской или СНГ-инфраструктуры. Она выросла из другой истории: патриотические хакерские группы конца 1990-х, давление Golden Shield и Great Firewall, уход незаконных обсуждений в закрытые каналы, расцвет Tor-маркетов после Silk Road, полицейская волна 2020 года и последующая миграция в более фрагментированную модель.
Сегодня эту модель можно описать как разделённую экосистему. Продажи находятся на Chang'an Never Sleeps City, Dark Web Chinese Forum, Free City и похожих маркетах. Обучение и CTF живут в clearnet. Telegram, WeChat, Alipay и банковские выводы показывают, что теневые сервисы не изолированы от массовых коммуникационных и платежных привычек китайского интернета. А ransomware-сегмент, представленный в публичной части Storm-2603, Warlock и связью с Black Basta, остаётся менее публичным и потому менее наблюдаемым.
Главная практическая мысль доклада: китайский дарквеб нельзя искать как "ещё один Exploit или XSS на китайском". Там есть свои маркеты, свои образовательные каналы, свои мессенджерные поисковики и своя культура закрытости. Для аналитика это не повод отказаться от исследования, а требование менять карту местности.