Avril noir pour les forums pirates : arrestations, disparitions et fuite revendiquée contre DarkForums
Posté : mar. 28 avr. 2026 08:08
Avril noir pour les forums pirates : arrestations, disparitions et fuite revendiquée contre DarkForums
Le mois d’avril aura été particulièrement compliqué pour plusieurs pirates informatiques et forums malveillants. Le vent devait tourner un jour. L’impunité affichée par certains acteurs du cybercrime ne pouvait pas durer éternellement.
L’exemple le plus visible reste celui de HexDex, arrêté lundi 20 avril. Quatre jours plus tard, le jeune pirate présumé se retrouvait en détention provisoire, avec une lourde épée de Damoclès au-dessus de la tête. S’il était reconnu coupable des faits qui lui sont reprochés, notamment plusieurs dizaines de vols de données en France et à l’étranger, il pourrait encourir jusqu’à dix ans de prison et plusieurs centaines de milliers d’euros d’amende.
À noter que, le jour de son arrestation dans la petite ville d’Aizenay (Vendée), HexDex préparait la diffusion de nouvelles fuites de données exfiltrées lors de piratages de CRM et d’espaces de gestion clients d’entreprises. Je laisse les DPO se charger du courriel d’alerte, si celui-ci est envoyé.
Un CRM est un logiciel de gestion de la relation client. Il centralise les données des clients et prospects : coordonnées, échanges, commandes, contrats et historiques commerciaux.
Une chose est certaine : parmi les fuites bloquées par les autorités figurait une entreprise spécialisée dans le contrôle technique d’automobile. On parle ici d’une vision de plusieurs milliers de succursales en France, d’une base de données présumée de 113 millions de lignes et de 47 millions de plaques d’immatriculation. Pour prouver son « plus gros coup« , le pirate m’avait envoyé mes propres informations (sic!). Quelques heures auparavant, dans une discussion avec un autre pirate, Angel Batista, j’avais reçu mon casier judiciaire ! Le pirate avait réussi à le récupérer à partir d’un outil interne d’une mairie ! (Double sic!)
Hexdex serait aussi l’auteur d’une des fuites de l’OFII, comprenant 800 000 lignes, mais « sans les mails« , indiquait-il avant son arrestation. « Il y a beaucoup de détails, dont un bonus qui n’a jamais été expérimenté dans mes ventes« , concluait-il sur son infiltration de ce spécialiste de l’automobile.
Comme ZATAZ l’a souvent rappelé, certains jeunes pirates ne comprennent pas toujours qu’ils devront, tôt ou tard, rendre des comptes. Et derrière eux, ce sont aussi des familles entières qui peuvent subir durablement les conséquences de leurs actes. Pour HexDex, sa maman et sa sœur risquent d’en payer les pots cassés pendant de longues années.
Espérons qu’une fois sa dette payée à la société, il devienne un expert de son domaine au sein d’une entreprise fiable. Je reste persuadé que, bien accompagnés, certains jeunes « geeks » peuvent servir la sécurité de toutes et tous… avant de commettre des bêtises plus grosses qu’eux.
Des pseudos qui disparaissent
Pendant ce temps, d’autres figures du petit monde des fuites de données semblent avoir disparu des radars. Des profils actifs dans les espaces de leaks. Des LockUp, dont celui ayant permis de menacer des personnes au téléphone, notamment cette future maman que ZATAZ avait rencontrée le mois dernier.
Un épisode a particulièrement amusé le Service de veille et d’investigation de ZATAZ : plusieurs « experts » autoproclamés du leak, cachés ou non derrière des pseudonymes, ont relayé sans recul un message affirmant qu’Angel Batista aurait été arrêté par les autorités russes. Pas besoin, semble-t-il, d’aller chercher aussi loin. Dans ce milieu, la désinformation circule parfois aussi vite que les bases de données volées.
Bref, les Russes n’y sont clairement pour rien. Petit « poke » au comique derrière cette information façon 1er avril, qui avait alerté ZATAZ au moment de lancer sa « blagounette ».
Les forums pirates s’écharpent
Sur les forums de leaks, le climat est électrique. Les accusations fusent, les règlements de comptes se multiplient, et les mêmes « influenceurs » du leak tentent de récupérer des informations, des accès ou des liens par messages privés interposés. Parmi les dernières victimes en date : DarkForums, l’une des nombreuses copies spirituelles de RaidForums, ce forum qui avait largement popularisé le modèle des plateformes dédiées aux fuites massives de données.
Un message publié sur PwnForums par un utilisateur se présentant sous le pseudonyme « John » revendiquait, la semaine dernière, une fuite visant DarkForums. Selon ce texte, DarkForums serait administré par une personne appelée « Knox ». L’auteur affirme également que des données d’utilisateurs auraient été extraites via une vulnérabilité touchant MyBB, un moteur de forum largement utilisé. Un 0day que ZATAZ annonçait il y a quelque temps déjà.
À ce stade, ces affirmations doivent être traitées comme des revendications. Elles n’ont pas été confirmées de manière indépendante. ZATAZ vous propose un moteur d’analyse, en partenariat avec le Service de veille et d’investigation de ZATAZ, traitant ces données de présumés pirates.
Le message de « John » affirme que l’exploitation aurait permis de récupérer environ 427 000 entrées, couvrant des identifiants de publications, des pseudonymes, des adresses IP et des hostnames. Le moteur de ZATAZ permet de découvrir, de l’intérieur, comme nous avions pu le faire avec BreachForums, ces univers qui ne vivent qu’avec les données volées aux internautes de la planète.
Selon les éléments revendiqués, le dump contiendrait environ 44 300 utilisateurs uniques. Les adresses IP auraient également été diffusées par le corbeau, avec environ 78 000 IP distinctes. Le tout comprendrait aussi près de 19 300 connexions via des nœuds Tor, environ 15 200 connexions via des VPN ou hébergeurs, ainsi que près de 97 400 entrées associées à des hostnames résidentiels.
En clair, il ne s’agirait pas principalement d’une fuite de mots de passe, mais d’une exposition de métadonnées de connexion et de publication. C’est souvent moins spectaculaire pour le grand public, mais potentiellement très sensible pour les utilisateurs concernés. Et pour la CTI, la cyber threat intelligence, vous allez découvrir avec notre outil que ces éléments peuvent devenir très utiles
Le message de ce mystérieux « John » cherche clairement à fragiliser la confiance des membres du forum pirate concurrent.
Une opération de pression autant qu’une fuite
Au-delà de la dimension technique, le message ressemble aussi à une opération de pression et de discrédit. L’auteur accuse l’administrateur présumé de négligence, affirme qu’il revendrait les données de ses utilisateurs et menace de publier davantage d’informations personnelles s’il « ne se calme pas« . Le texte contient également une injure raciste anti-indienne visant Knox.
L’auteur affirme que les membres actifs à la fois sur DarkForums et PwnForums auraient été retirés de la base publiée. Cette précision est importante. Elle suggère que le dump est incomplet, orienté ou instrumentalisé selon des intérêts internes à ces communautés.
Cette affaire illustre une réalité récurrente des forums pirates : ces plateformes reposent sur la confiance, même lorsqu’elles opèrent dans l’illégalité. Lorsqu’un forum est accusé de conserver trop de traces, de protéger insuffisamment ses membres ou de manipuler ses propres utilisateurs, sa crédibilité peut s’effondrer très vite.
DarkForums n’est pas seulement visé par une revendication technique. Il est ciblé sur ce qui fait tenir ce type de plateforme : la réputation, la confidentialité supposée et l’illusion d’une forme de sécurité communautaire.
Le paradoxe est connu : des individus qui prospèrent sur les fuites de données découvrent, parfois brutalement, qu’ils peuvent eux aussi devenir des victimes. Dans le petit théâtre des forums pirates et autres LockUp, le rideau tombe rarement avec élégance.
merci à ZATAZ
Le mois d’avril aura été particulièrement compliqué pour plusieurs pirates informatiques et forums malveillants. Le vent devait tourner un jour. L’impunité affichée par certains acteurs du cybercrime ne pouvait pas durer éternellement.
L’exemple le plus visible reste celui de HexDex, arrêté lundi 20 avril. Quatre jours plus tard, le jeune pirate présumé se retrouvait en détention provisoire, avec une lourde épée de Damoclès au-dessus de la tête. S’il était reconnu coupable des faits qui lui sont reprochés, notamment plusieurs dizaines de vols de données en France et à l’étranger, il pourrait encourir jusqu’à dix ans de prison et plusieurs centaines de milliers d’euros d’amende.
À noter que, le jour de son arrestation dans la petite ville d’Aizenay (Vendée), HexDex préparait la diffusion de nouvelles fuites de données exfiltrées lors de piratages de CRM et d’espaces de gestion clients d’entreprises. Je laisse les DPO se charger du courriel d’alerte, si celui-ci est envoyé.
Un CRM est un logiciel de gestion de la relation client. Il centralise les données des clients et prospects : coordonnées, échanges, commandes, contrats et historiques commerciaux.
Une chose est certaine : parmi les fuites bloquées par les autorités figurait une entreprise spécialisée dans le contrôle technique d’automobile. On parle ici d’une vision de plusieurs milliers de succursales en France, d’une base de données présumée de 113 millions de lignes et de 47 millions de plaques d’immatriculation. Pour prouver son « plus gros coup« , le pirate m’avait envoyé mes propres informations (sic!). Quelques heures auparavant, dans une discussion avec un autre pirate, Angel Batista, j’avais reçu mon casier judiciaire ! Le pirate avait réussi à le récupérer à partir d’un outil interne d’une mairie ! (Double sic!)
Hexdex serait aussi l’auteur d’une des fuites de l’OFII, comprenant 800 000 lignes, mais « sans les mails« , indiquait-il avant son arrestation. « Il y a beaucoup de détails, dont un bonus qui n’a jamais été expérimenté dans mes ventes« , concluait-il sur son infiltration de ce spécialiste de l’automobile.Comme ZATAZ l’a souvent rappelé, certains jeunes pirates ne comprennent pas toujours qu’ils devront, tôt ou tard, rendre des comptes. Et derrière eux, ce sont aussi des familles entières qui peuvent subir durablement les conséquences de leurs actes. Pour HexDex, sa maman et sa sœur risquent d’en payer les pots cassés pendant de longues années.
Espérons qu’une fois sa dette payée à la société, il devienne un expert de son domaine au sein d’une entreprise fiable. Je reste persuadé que, bien accompagnés, certains jeunes « geeks » peuvent servir la sécurité de toutes et tous… avant de commettre des bêtises plus grosses qu’eux.
Des pseudos qui disparaissent
Pendant ce temps, d’autres figures du petit monde des fuites de données semblent avoir disparu des radars. Des profils actifs dans les espaces de leaks. Des LockUp, dont celui ayant permis de menacer des personnes au téléphone, notamment cette future maman que ZATAZ avait rencontrée le mois dernier.
Un épisode a particulièrement amusé le Service de veille et d’investigation de ZATAZ : plusieurs « experts » autoproclamés du leak, cachés ou non derrière des pseudonymes, ont relayé sans recul un message affirmant qu’Angel Batista aurait été arrêté par les autorités russes. Pas besoin, semble-t-il, d’aller chercher aussi loin. Dans ce milieu, la désinformation circule parfois aussi vite que les bases de données volées.
Bref, les Russes n’y sont clairement pour rien. Petit « poke » au comique derrière cette information façon 1er avril, qui avait alerté ZATAZ au moment de lancer sa « blagounette ».
Les forums pirates s’écharpentSur les forums de leaks, le climat est électrique. Les accusations fusent, les règlements de comptes se multiplient, et les mêmes « influenceurs » du leak tentent de récupérer des informations, des accès ou des liens par messages privés interposés. Parmi les dernières victimes en date : DarkForums, l’une des nombreuses copies spirituelles de RaidForums, ce forum qui avait largement popularisé le modèle des plateformes dédiées aux fuites massives de données.
Un message publié sur PwnForums par un utilisateur se présentant sous le pseudonyme « John » revendiquait, la semaine dernière, une fuite visant DarkForums. Selon ce texte, DarkForums serait administré par une personne appelée « Knox ». L’auteur affirme également que des données d’utilisateurs auraient été extraites via une vulnérabilité touchant MyBB, un moteur de forum largement utilisé. Un 0day que ZATAZ annonçait il y a quelque temps déjà.
À ce stade, ces affirmations doivent être traitées comme des revendications. Elles n’ont pas été confirmées de manière indépendante. ZATAZ vous propose un moteur d’analyse, en partenariat avec le Service de veille et d’investigation de ZATAZ, traitant ces données de présumés pirates.
Le message de « John » affirme que l’exploitation aurait permis de récupérer environ 427 000 entrées, couvrant des identifiants de publications, des pseudonymes, des adresses IP et des hostnames. Le moteur de ZATAZ permet de découvrir, de l’intérieur, comme nous avions pu le faire avec BreachForums, ces univers qui ne vivent qu’avec les données volées aux internautes de la planète.
Selon les éléments revendiqués, le dump contiendrait environ 44 300 utilisateurs uniques. Les adresses IP auraient également été diffusées par le corbeau, avec environ 78 000 IP distinctes. Le tout comprendrait aussi près de 19 300 connexions via des nœuds Tor, environ 15 200 connexions via des VPN ou hébergeurs, ainsi que près de 97 400 entrées associées à des hostnames résidentiels.
En clair, il ne s’agirait pas principalement d’une fuite de mots de passe, mais d’une exposition de métadonnées de connexion et de publication. C’est souvent moins spectaculaire pour le grand public, mais potentiellement très sensible pour les utilisateurs concernés. Et pour la CTI, la cyber threat intelligence, vous allez découvrir avec notre outil que ces éléments peuvent devenir très utiles
Le message de ce mystérieux « John » cherche clairement à fragiliser la confiance des membres du forum pirate concurrent.
Une opération de pression autant qu’une fuite
Au-delà de la dimension technique, le message ressemble aussi à une opération de pression et de discrédit. L’auteur accuse l’administrateur présumé de négligence, affirme qu’il revendrait les données de ses utilisateurs et menace de publier davantage d’informations personnelles s’il « ne se calme pas« . Le texte contient également une injure raciste anti-indienne visant Knox.
L’auteur affirme que les membres actifs à la fois sur DarkForums et PwnForums auraient été retirés de la base publiée. Cette précision est importante. Elle suggère que le dump est incomplet, orienté ou instrumentalisé selon des intérêts internes à ces communautés.
Cette affaire illustre une réalité récurrente des forums pirates : ces plateformes reposent sur la confiance, même lorsqu’elles opèrent dans l’illégalité. Lorsqu’un forum est accusé de conserver trop de traces, de protéger insuffisamment ses membres ou de manipuler ses propres utilisateurs, sa crédibilité peut s’effondrer très vite.
DarkForums n’est pas seulement visé par une revendication technique. Il est ciblé sur ce qui fait tenir ce type de plateforme : la réputation, la confidentialité supposée et l’illusion d’une forme de sécurité communautaire.
Le paradoxe est connu : des individus qui prospèrent sur les fuites de données découvrent, parfois brutalement, qu’ils peuvent eux aussi devenir des victimes. Dans le petit théâtre des forums pirates et autres LockUp, le rideau tombe rarement avec élégance.
merci à ZATAZ