Михаил Алексеенко — «Темная сторона китайского интернета. Хакерские форумы, дарквеб-площадки и многое другое»

Метаданные

Доклад: «Темная сторона китайского интернета. Хакерские форумы, дарквеб-площадки и многое другое»
Спикер: Михаил Алексеенко, аналитик, PT Cyber Analytics
Дата на слайдах: 26.05.2026

Вступление

Очень интересная тема. Почему? Потому что китайцы не очень любят рассказывать, что у них происходит. Даже если любят, то рассказывают на китайском, а до недавнего времени это было очень сложно прочитать.

Я когда-то делал в Китае что-то вроде отбора: закрытые форумы, люди приходили, регистрировались, им открывали окошко на несколько минут, они должны были решить задачу, проникнуть туда, после этого получали новый [неразборчиво] и так далее. И о том, как сейчас обстоит дело у нашего братского народа, нам расскажет Михаил.

Основная часть доклада

Всем привет. Всем, кто в зале, и всем, кто смотрит онлайн. Меня зовут Михаил Алексеенко, я из PT Cyber Analytics.

Я провел ресерч китайского даркнета, и сегодня расскажу, что интересного там есть, как он вообще устроен и какие у него особенности.

План такой: почему вообще было выбрано китайское исследование; история китайского интернета и китайского дарквеба, его развитие и то, как все это повлияло на текущую ситуацию; китайские дарквеб-площадки и маркеты; хакеры и хакерские группировки. В заключение я сравню всю эту даркнет-инфраструктуру в Китае с европейской и СНГ-инфраструктурой, которую многие знают.

Почему Китай

Первая причина в том, что вопрос, существуют ли у китайцев какие-то форумы в даркнете, на европейских форумах актуален уже многие годы.

На слайдах показаны три скриншота с одного из хакерских форумов, ориентированного на СНГ- и европейскую аудиторию. Только на одном этом форуме было около восьми топиков, в которых задавался один и тот же вопрос: есть ли вообще китайские форумы, как на них попасть и как это все устроено.

На эти вопросы не было никакой конкретики. Кто-то писал, что форумов нет, все в мессенджерах. Кто-то говорил, что форумы есть, но это закрытые платформы, куда можно попасть только по приглашению. Кто-то говорил, что что-то есть, но непонятно что. В общем, не было ни конкретных ссылок, ни названий. В первую очередь это и вызвало у меня интерес: посмотреть на это и понять, как все устроено.

Вторая причина — сам китайский интернет. Он довольно закрытый и позиционируется как пространство «только для своих».

Это связано с Great Firewall of China, который довольно сильно ограничивает сетевой трафик. Кроме того, есть языковой и культурный барьер. Китайцы скорее готовы вести дела и бизнес с другими китайцами или знакомыми, чем с незнакомцами, тем более иностранцами. А языковой барьер мешает попадать на европейские форумы, сидеть на них и что-либо делать.

Становление китайского дарквеба

Начать стоит с истории китайского дарквеба. Отсчитывать ее можно примерно с 1998 года.

В 1998 году появляются первые китайские публичные хакерские группировки: Honker Union, Wicked Rose и China Eagle. Эти группировки называли себя движением красных хакеров и имели патриотические цели. С 1998 года и в нулевые они проводили активные атаки, мотивированные патриотизмом, на различные западные инфраструктуры.

Новости о том, что какая-нибудь хакерская группировка из Китая сломала, например, натовскую инфраструктуру, довольно сильно распространялись по китайским СМИ. На этом фоне стали появляться первые китайские хакерские форумы.

Первые форумы были под управлением и покровительством самих группировок. На этих форумах велись разные продажи, связанные с хакингом: от продаж доступов, malware и эксплойтов до других услуг. Также была обучающая часть, где новых пользователей обучали от базовых знаний по операционным системам до того, как ломать хосты, эксплуатировать уязвимости и так далее.

Так продолжалось недолго. В 2003 году китайское правительство развернуло проект Golden Shield, более известный как Great Firewall of China. После этого, в 2004 году, все первоначальные форумы и сообщества закрылись либо ушли в тень. При этом осталась аудитория людей, которые на этих форумах обучались, общались, делали бизнес и что-то продавали, но фактически остались без прежних площадок.

Из-за этого с 2004 по 2020 год начинается развитие новых форматов. Форумов становится все больше, появляются разные другие услуги, но они по-прежнему ориентированы на две вещи: обучение хакингу и продажи. Тогда же появляется услуга hacker-for-hire: было много объявлений о том, что можно нанять хакера за деньги, и он сломает то, что нужно.

В 2005 году появляется первое публичное заявление китайской киберполиции о том, что они внедрились в форум группировки Shadow, в ее чаты и мессенджеры, и прикрыли эту группировку. Такие заявления стали регулярными. После этого происходит трансформация форумов: они реструктурируются, и вся незаконная часть уходит в закрытый формат — либо в закрытые чаты, либо в форумы только по приглашениям.

В публичной части остается в основном обучение. Оно становится намного легче: без разработки malware, с довольно базовыми темами вроде того, как проводить атаки, как программировать и тому подобное.

Потом появляется всем известный Silk Road — наркомаркетплейс, который очень сильно популяризовал Tor-сайты и оплату в Bitcoin. После его закрытия, на фоне этой популяризации, начинается то, что я называю расцветом китайского дарквеба. С 2013 по 2019 год идет очень активный рост китайских площадок.

В самом дарквебе, в Tor, появляется много площадок разной направленности: от форумов с книгами до порнографического контента. Среди них можно выделить Dark Web Chinese Forum, который был ориентирован не чисто на хакинг, а скорее был marketplace, где велись разные продажи серых услуг: от hacker-for-hire до продажи баз данных и тому подобного.

Также был Alibaba Market, который торговал услугами другого незаконного характера: например, оформлением банковской карты на человека и подобными вещами. Был UCEM — кардерский форум, который обучал кардеров и вел продажу ворованных карт.

На фоне такого бурного развития полиция, понятное дело, не могла бездействовать. В мае 2020 года появляется первое заявление о том, что даркнет-маркетплейс был закрыт полицией за продажу порнографического контента, запрещенного в Китае. На тот момент на этом маркете было около 60 тысяч пользователей.

После такого заявления в течение примерно двух лет около 85% площадок закрываются. Кто-то объявляет об официальном закрытии, кого-то закрывает полиция, но большинство просто уходит в тень: видимо, пошел слух, что такие площадки начали попадать под внимание, и лучше лечь на дно.

Тогда были закрыты ранее упомянутые Alibaba Market и UCEM, а также другие большие площадки вроде Tea Horse Road Market и Loulan City Market.

Что произошло после этого массового закрытия в 2023-2026 годах, я расскажу дальше.

Китайские дарквеб-форумы и маркеты

Начну с обзора того, какие сейчас существуют китайские площадки в даркнете, связанные с хакингом. На самом деле их не так много. Их всего три: Chang'an Never Sleeps City, Dark Web Chinese Forum и Free City.

Все три площадки — это маркеты, связанные с хакингом. На каждом маркете есть от 10 до 20 различных тем или топиков, которые четко разделены на услуги, продажи баз данных и другие разделы. Про тренды я расскажу чуть позже.

Dark Web Chinese Forum позиционирует себя не только как маркет, но и как форум. Но хотя там есть разделы по хакингу и разработке malware, они переполнены рекламой: люди либо рекламируют цены, либо свои услуги. Поэтому я скорее считал бы его именно хакерским маркетом.

Тренды на китайских маркетах

Если говорить о трендах на этих маркетах, на первом месте криптовалюта. В Китае криптовалюта запрещена, но она необходима, чтобы как-то оперировать на этих форумах и заниматься незаконной деятельностью. Все платежи происходят в криптовалюте.

На этом фоне развивается большой рынок услуг: от банального оформления кошелька до отмывания средств и вывода валюты в юанях.

На втором месте по популярности — продажа баз данных и утечек. На слайде слева показан раздел с одного из маркетов. Только на одном маркете и в одном разделе было 1020 страниц по 10 лотов. То есть это примерно 10 200 утечек, которые продаются. При этом сам маркет открылся в 2023 году, и за три года там накопилось столько продаж.

Я также выбрал около 500 случайных лотов с актуальными базами данных, которые продавались, и проанализировал их по странам. Вышло так, что на первом, втором и третьем местах по популярности — США, Индия и Китай, а на четвертом и пятом — Вьетнам и Бангладеш.

Замыкают топ трендов продажи malware и эксплойтов. Это не очень большой рынок, но очень дорогой. Продаются разные эксплойты, причем китайцы почему-то часто не указывают цены: обычно просто пишут «PO», то есть price on request. Также продается malware. Как я заметил, китайцы довольно любят RAT под Android.

Бизнес-модель маркетов

Поскольку все эти три площадки являются маркетами, они действуют по некоторой бизнес-модели. На самом деле модель у них примерно одинаковая.

При создании учетной записи на маркетплейсе создается криптокошелек, привязанный к пользователю. Этот кошелек можно пополнять по предложенному адресу в Bitcoin, Ethereum и USDT. После трех пополнений кошелек обновляется: адрес меняется, но средства не теряются. Так обеспечивается дополнительная анонимность вводов и выводов в криптовалюте.

За вывод берется комиссия от 0,2% до 3% в зависимости от криптовалюты и площадки, на которой происходит покупка.

Сами покупки происходят через автоматизированную внутреннюю систему, которая не требует гарантов и вообще не требует взаимодействия покупателя и продавца. Когда продавец выставляет лот на продажу, он проходит проверку: проверяется описание и сам товар, который приложен к лоту. После этого лот попадает на маркет.

Покупатель добавляет лот в корзину. В корзине отображаются идентификатор, название товара, раздел, в котором он находится, и цена. При оплате деньги просто списываются с внутреннего кошелька платформы, а товар автоматически поставляется в личный кабинет. Никакого взаимодействия с продавцом нет.

Free City, самая молодая платформа, имеет более развитую бизнес-модель. Кроме выводов в криптовалюте, что меня вообще удивило, там можно выводить средства на банковскую карту, Alipay и WeChat. Минимальный вывод на банковскую карту — 50 тысяч юаней, то есть больше полумиллиона рублей. При выводе на банковскую карту нужно указывать все личные данные: имя, фамилию, банковский номер и так далее.

Я понимаю, что такие выводы, вероятно, происходят на подставных людей. Но то, что на даркнет-маркете, где продаются незаконные товары и услуги, есть вывод на банковскую карту, само по себе довольно удивительно.

У Free City также есть Telegram-группа. В нее сыпятся разные лоты с продажами, по разделам могут быть новые актуальные предложения. На лот можно нажать, после чего происходит пересылка в Telegram-бота. Бот присылает описание товара, и прямо через него товар можно купить. Деньги списываются с того же кошелька на платформе, а товар доставляется через платформу. Telegram здесь скорее выступает как дополнительный интерфейс для покупки.

Ценовая политика

Если говорить о бизнес-модели, стоит упомянуть и ценовую политику.

На той же выборке из 500 лотов на продажу баз данных, где было больше 500 тысяч строк, я сравнил среднюю цену на китайском marketplace и среднюю цену на европейских и СНГ-хакерских форумах.

Выходит, что большинство лотов в Китае примерно в два раза дешевле. Если средняя стоимость на китайских рынках — около 410 долларов за условную базу данных, то на европейских и СНГ-форумах — около 808 долларов.

Но это обусловлено еще и тем, что на китайских маркетах очень много перепродаж баз данных. Например, на слайде показана база данных американского сервиса BitMart, которая утекла в открытый доступ в июле 2025 года. В Китае ее продают за 100 долларов, хотя она уже является публичной. Таких перепродаж довольно много, и они сильно влияют на ценовую политику.

Другие дарквеб-площадки

Если говорить про дарквеб-площадки в целом, то их, конечно, намного больше, чем три. Просто эти три связаны именно с хакингом.

Выбор там большой: от форумов с книгами и стихами до запрещенного типа порнографии. Из интересного можно выделить две платформы. Первая — платформа для найма хакеров, которая, кстати, второй и последней пережила массовое закрытие хакерских платформ. Вторая — форум для обсуждения любых нелегальных тем.

На таком форуме было около 50 разделов на любые темы. Пример такой темы: «Как избежать наказания за убийство в Китае». В этом треде люди с разными «цветами» аккаунтов, которые можно различить по уровню, давали советы, как избежать наказания или уехать из страны.

В общем, это очень активный и, я бы сказал, очень незаконный форум.

Китайские хакеры и хакерские группировки

После рассмотрения темной инфраструктуры можно поговорить про китайских хакеров и хакерские группировки.

Я уже говорил, что в 2008 году произошло разделение форумов на темную часть и clearnet-часть. Темную часть мы уже посмотрели: это дарквеб-маркеты. То, что осталось в публичной части, — обучающие форумы. По сути, ничего не поменялось.

Современный формат таких хакерских форумов заточен чисто под обучение. Там все довольно лайтово: операционные системы, программное обеспечение, работа с антивирусами и самое главное — CTF.

В Китае очень мощная CTF-тусовка, из-за чего появляется большой запрос на CTF-задачки и CTF-соревнования. На любом из таких форумов топ-1 темой будет CTF.

На слайде также показан форум старого формата. Это то, во что превратились изначальные форумы. Там все более подпольно: уже конкретные обсуждения, как атаковать, как можно bypass'ить различные средства защиты, как эксплуатировать XSS, SQL injection и другие атаки.

Мной было найдено более 40 активных clearnet-форумов, посвященных обучению хакингу. Это говорит о том, что там очень мощная CTF-тусовка и очень много специалистов.

Рекрутинг в хакерские группы

На фоне такого количества специалистов появляется большой спрос. На даркнет-площадках и в Telegram довольно часто можно встретить объявления. Например, человек представляет свои услуги по хакингу и готов за 300 долларов получить доступ к любому аккаунту целевой площадки. Но еще чаще встречается поиск пентестеров и хакеров в китайские хакерские группировки.

Когда я это все прочесывал, только за один день на одной площадке было около нескольких таких объявлений. Одно из них меня зацепило: искали не китайских хакеров, а иностранных.

Я решил написать по указанному контакту и сказал: «Здорово, я хакер из России, могу делать все что угодно, хочу вступить в твою группировку».

На это рекрутер ответил: «Что ты вообще взламывал? У тебя есть кейсы?» Я придумал два или три кейса, как будто участвовал в разных атаках. В итоге китайскому товарищу это понравилось. Он сказал: «Хорошо», — и отправил пять онлайн-казино, базировавшихся в Бангладеш, с целью достать из них базу данных и скинуть ему. Тогда он, по его словам, добавил бы меня в чат.

Я думаю, это был настоящий тест. А вот то, что обманул он меня уже после того, как я его скинул, — это другой вопрос, потому что я ничего не скидывал и ничего не ломал.

В тот момент мне стало интересно, почему Бангладеш и какие еще есть таргеты на радарах у таких хакерских группировок. Я поискал по разным чатам, закрытым и открытым. Вышло так, что в топе у них как раз Бангладеш, Индия, Тайвань, Таиланд и немного Малайзии. Эти страны чаще всего набирались в обсуждениях.

Ransomware-группы

Если говорить про хакерские группировки, стоит упомянуть и шифровальщиков.

В Китае есть только одна явно китайская известная группировка шифровальщиков — Storm-2603. Она начала деятельность в начале прошлого года. Сначала они сотрудничали с Black Basta, проводя совместные атаки, а в начале этого года создали собственный шифровальщик под названием Warlock и стали самостоятельными игроками.

Слева на слайде показан их блог в интернете: они туда вставляют заявления об атаках и ставят компанию на таймер. Если компания, условно, за неделю не выплачивает выкуп, данные будут выложены.

Это касается больших группировок. Для более мелких актуально либо сотрудничество с крупными группами, либо короткие программы и объявления на форумах: если жертвы не будут выплачивать выкуп группе, данные сольют.

Сравнение с Европой и СНГ

Мы рассмотрели инфраструктуру в китайском даркнете, и теперь я хотел бы сравнить ее с европейской и СНГ-инфраструктурой.

В Европе и СНГ первенство удерживают хакерские бизнес-форумы. На них представлено огромное количество тем: от обучения до продаж. В общем, очень много всего.

Я составил небольшую таблицу. Она не покрывает тему полностью, но отражает суть.

Получается так: все темы, связанные с хакингом, в Европе и СНГ покрываются бизнес-форумами. Если говорить про Китай, то все, что связано с продажами, покрывают китайские дарквеб-маркеты, а все, что связано с обучением, покрывают китайские clearnet-платформы.

При этом остаются непокрытые темы, которые вся эта инфраструктура не закрывает. Сначала возник вопрос: существуют ли вообще в Китае подобные форумы, похожие на европейские, где обсуждаются и нелегальные темы, и хакинг?

В ходе ресерча мне их найти не удалось. Поэтому я решил написать китайцам и спросить, существует ли что-то похожее на европейские форумы. Сначала они все отправляли мне обучающие форумы. Я отвечал, что это уже знаю и ищу другое. В итоге все, кроме одного, сказали, что ничего такого не знают. Один сказал, что он сидел на европейских форумах и что такого в Китае не найти.

Тогда возникает вопрос: где вообще эти темы обсуждаются?

Выходит так, что малая часть китайских пользователей добирается до европейских и СНГ-форумов. Это те, кто знает английский язык и в целом в курсе про эти форумы. Там китайцы уже общаются, и там есть целые ветки.

Но большая часть сидит в Telegram. Причем Telegram стал популярен у китайцев примерно в 2022 году. За четыре года они сделали целую инфраструктуру, построенную на поисковых движках.

На слайде показаны поисковые движки: это чаты, в которых может быть до 100 тысяч пользователей. Ты просто пишешь что-то похожее на вопрос или поисковый запрос. Например, хочешь найти каналы, связанные с новостями, или с чем-то незаконным. На этот запрос в чате отвечает бот со списком каналов и чатов.

Так можно найти все что угодно. Мне удалось найти группы с продажей malware: например, там продают RAT для Android. Также были чаты, где занимались разработкой malware: обсуждали, например, эксплойт в компоненте драйвера. В общем, через Telegram можно найти все что угодно — от новостей до физических продаж и незаконных услуг.

Выводы

В конце я хотел бы собрать воедино всю эту инфраструктуру.

В Китае она очень сильно разделена. Есть Tor-маркеты, на которых ведутся незаконные продажи. Есть clearnet-форумы, которые заточены под обучение. В мессенджерах все это собрано воедино: можно найти и то, и другое.

При этом очень маленькая часть китайских пользователей добирается до европейских и СНГ-форумов.

Европейская и СНГ-инфраструктура, в свою очередь, в основном состоит из бизнес-форумов, о которых я говорил. Они довольно самодостаточны. Telegram используется как дополнение для обсуждений, и там, как и в Китае, есть экосистема поиска.

По сравнению с китайской инфраструктурой в Европе и СНГ намного сильнее развиты блоги шифровальщиков. Если в Китае есть одна явно китайская группировка шифровальщиков, то в Европе и СНГ их намного больше. Даже на сайте Ransomware.live их больше ста. Все они заявляют об атаках, выкладывают базы данных и занимаются этим постоянно.

На этом у меня все. Спасибо. Слева — [неразборчиво], справа — мой канал. Вопросы?

Вопросы и ответы

Вопрос: Можно спросить, для чего вы эти данные собирали?

Ответ: Потому что на данный момент самая актуальная информация, связанная с китайским интернетом, датирована 2021 годом. В 2021 году было похожее исследование от Recorded Future, но с тех пор очень многое изменилось.

На данный момент нельзя найти структурированной информации в одном месте, ни в английском, ни в русском интернете, о том, как это все устроено в Китае и как функционирует. Я даже в начале говорил, что эти вопросы задают уже десять лет. Поэтому это больше исследовательский интерес: посмотреть, что там происходит, пусть и с моими довольно малыми возможностями.

Вопрос: Вы там что-то собираете, например банки, которые существуют на этих рынках? А как насчет российских банков?

Ответ: Конечно, это можно мониторить. На самом деле сами китайцы довольно уважительно относятся к русскому языку: даже на платформе Free City есть русский язык.

Но при этом, конечно, появляются разные продажи баз данных. Чаще всего это перепродажи. Я еще озвучивал таргеты: Россию они вообще не обсуждали. Я бы сказал так: либо это очень глубоко скрыто и не показывается наружу, либо им это просто не очень интересно. Все-таки они нас тоже считают союзниками.

Вопрос: Вы говорили, что у китайцев сейчас только одна группировка шифровальщиков, а у нас их очень много. Есть догадки, почему они отстают?

Ответ: Догадки есть. Причем одна — явно китайская, которая известна именно как китайская. Есть факторы, которые это подтверждают. Сколько на самом деле китайских группировок, мне кажется, никто не знает.

При этом китайцы не афишируют свою деятельность. Есть очень много группировок шифровальщиков или вымогателей, которые что-то ломают, отправляют сообщение на почту жертве, говорят «заплатите деньги» и не раскрывают это публично.

Когда я исследовал тему, я даже находил на выборках машин старые, двух- или трехлетней давности deface, где как раз такое заявляли. То есть это уже не про блоги: это никак не опишешь и публично не отследишь.

Вопрос: Китай — большая страна. Но если смотреть целиком на Азию и регионы — Малайзия, Индия, — они куда ходят? Если считать в миллиардах, их не меньше.

Ответ: На самом деле у каждой страны есть свои форумы. Но те, кто не ограничен китайским файрволом, скорее будут сидеть на тех же европейских форумах, потому что они очень популярны.

Локальные форумы тоже есть. Например, условно, если форум только на малайском языке, он будет пользоваться популярностью, но не такой, как европейские форумы.

Вопрос: [неразборчиво] Почему Бангладеш?

Ответ: На самом деле я так до конца и не понял. Могу только предполагать: либо это какие-то личные неприязни у китайцев, потому что если смотреть историю, там можно найти такие причины, либо просто незащищенность систем. Я бы сказал так. Я сам пытался найти конкретный ответ, но не удалось.

Спасибо большое. Отличный доклад.

Неоднозначные места

1. Вступительная реплика ведущего про «отбор», «закрытые форумы» и то, что получали участники после выполнения задания, сильно искажена ASR; смысл восстановлен приблизительно.
2. В сырой транскрипции спикер распознан как «Игорь Алексей», но по слайдам указан Mikhail Alekseenko / Михаил Алексеенко.
3. Фраза «Слева — [неразборчиво], справа — мой канал» оставлена с пометкой: по ASR непонятно, что именно было слева на финальном слайде.
4. В Q&A часть вопросов распознана фрагментарно, особенно вопросы про сбор данных, банки и количество площадок; они отредактированы по смыслу, без добавления новых фактов.
5. Утверждение про BitMart и дату утечки оставлено по речи спикера; в слайдах есть только тезис о public database sales, без подробной проверки внешними источниками.