太长不看
- 美国财政部外国资产控制办公室 (OFAC) 与英国和澳大利亚协调,将俄罗斯防弹主机提供商 Media Land, LLC 及其网络指定为网络犯罪活动(包括勒索软件攻击)的实施方。
- 此次行动涉及一个与 Aleksandr Volosovik(别名“Yalishanda”)关联的比特币地址,但 Chainalysis 正在监控数千个与他有关的地址和数百万美元的交易。
- Volosovik 的托管服务几乎支持网络攻击链的每一个环节,为地下交易所、洗钱服务、诈骗犯、黑客和勒索软件运营商提供服务,其中包括受制裁的LockBit管理员 Dmitry Khoroshev。
- 2025 年 7 月,在OFAC 将 AEZA 集团列入指定名单后不久,多家指定实体成立,这表明有人试图通过新的公司结构继续运营。
- 此次三方行动表明,国际社会继续关注破坏网络犯罪的基础设施层面,而不是仅仅追究个别威胁行为者的责任。
- 此外,美国财政部外国资产控制办公室(OFAC)还对加拿大前奥运会单板滑雪运动员瑞安·詹姆斯·韦丁及其九名亲信实施了制裁。他被指控经由墨西哥和哥伦比亚贩运可卡因,然后销往美国和加拿大。
支持勒索软件的俄罗斯网络犯罪基础设施
2025年11月19日,美国财政部外国资产控制办公室(OFAC)与英国和澳大利亚的对口机构协调,将一个俄罗斯安全托管服务提供商网络及其相关人员列入制裁名单,理由是他们为网络犯罪活动(包括勒索软件攻击)提供了便利。此次制裁的目标是Media Land, LLC及其关联实体,以及运营该基础设施的关键人员,该基础设施为全球恶意网络行动提供了便利。
防弹主机:网络犯罪的关键基础设施
防弹主机提供商提供的互联网基础设施服务旨在无视滥用投诉,并将恶意内容托管在被查封的风险降至最低。这些服务对于网络犯罪分子进行勒索软件攻击、 网络钓鱼、恶意软件传播、DDoS攻击和其他恶意活动至关重要。通过提供能够抵御执法部门行动和滥用报告的托管服务,这些提供商使犯罪分子能够为其非法活动维护持久的基础设施。
现代网络犯罪基础设施通过跨越传统国界的复杂网络运作。支撑这些行动的技术基础设施通常涉及多个相互连接的实体。在本案中,被指定的实体包括 Media Land LLC、Media Land Technology LLC、Data Center Kirishi LLC 和 ML.Cloud LLC。Media Land 网络展示了这些行动如何通过互联实体的分布式结构来维持其韧性。通过在多个司法管辖区建立据点,这些网络利用监管漏洞并人为制造复杂性来保护自身免受干扰。
AEZA集团的联系
此次被列入制裁名单的多个实体和个人与AEZA集团有限责任公司有关联,该公司此前已于2025年7月被美国财政部外国资产控制办公室(OFAC)列入制裁名单,原因是其提供“防弹”主机托管服务。今天的制裁行动扩大了此前的制裁范围,将同一生态系统中的其他个人和实体也列入其中。与AEZA集团有关联的马克西姆·马卡罗夫和伊利亚·扎基罗夫因其在支持该网络运营中所扮演的角色而被列入制裁名单。
该认定范围还包括一些实体,这些实体似乎是为了在之前的执法行动后继续运营而设立的。例如,位于乌兹别克斯坦的Datavice MCHJ和位于英国的Hypercore Ltd均成立于2025年7月,即AEZA集团被认定为受制裁实体后不久,这表明它们试图通过新的公司架构来维持运营。
加密货币基础设施
美国财政部外国资产控制办公室(OFAC)在今天的制裁名单中列入了一个比特币地址(18dLDAWi8LmrHbEq3QzDJb9SLxCf4uimXB),该地址与Aleksandr Volosovik有关,他也使用“Ohyeahhellno”、“podzemniy1”和“Yalishanda”等别名。虽然制裁名单中只列出了一个地址,但Chainalysis正在监控数千个与Yalishanda及其企业有关的地址和价值数百万美元的加密货币交易。
Yalishanda 的托管服务几乎支撑了网络攻击链的每一个环节,从访问权限到货币化,无所不包。链上分析显示,Yalishanda 被地下交易所、洗钱服务提供商、诈骗犯、黑客、出售访问权限和恶意软件即服务的个人,以及勒索软件运营者及其关联人员所利用,其中尤其值得注意的是,包括受制裁的 Lockbit 勒索软件管理员 Dmitry Khoroshev(又名 Lockbitsupp)。事实上,Yalishanda 迎合了犯罪客户的需求, Chainalysis Reactor图表显示,Yalishanda 多次向地下市场付款,表面上是支付其服务的广告费。
国际协调应对网络威胁
今天的行动代表了美国、英国和澳大利亚三国为打击网络犯罪基础设施而开展的协调一致的三方合作。鉴于防弹托管服务的全球性及其被世界各地网络犯罪分子利用,这种国际合作至关重要。
根据《 乌克兰/俄罗斯相关制裁条例》,此项指定会带来二级制裁风险,这意味着非美国人士与被指定方进行某些交易可能面临制裁。这一扩大的制裁框架加大了对这些网络的压力,使国际服务提供商和金融机构与这些网络开展业务的风险更高。
针对网络犯罪基础设施的模式
此举延续了美国财政部外国资产控制办公室(OFAC)的战略,即打击网络犯罪的基础设施层面,而非仅仅追究个别威胁行为者的责任。近期类似行动包括:
- 2025年7月:美国财政部外国资产控制办公室(OFAC)将AEZA Group LLC列入制裁名单,原因是其提供防弹托管服务。
- 2025年2月:美国财政部外国资产控制办公室(OFAC)将ZServers列入制裁名单,原因是其存在类似的“防弹”托管活动。
通过打击网络犯罪分子所依赖的托管服务提供商、支付处理商和技术基础设施,执法部门可以同时扰乱多个犯罪活动,并增加威胁行为者的运营成本和风险。
由前奥运选手运营的全球贩毒集团
美国财政部外国资产控制办公室(OFAC)对前加拿大单板滑雪运动员瑞安·詹姆斯·韦丁(Ryan James Wedding)及其九名亲信实施制裁。韦丁曾参加2002年冬季奥运会。他被控经由墨西哥和哥伦比亚贩运可卡因,并在美国和加拿大销售。根据美国财政部和司法部发布的新闻稿,韦丁以暴力犯罪著称,曾策划在拉丁美洲、加拿大和美国各地杀害数十人。
韦丁目前在联邦调查局十大通缉犯名单上,据信他藏身于墨西哥,同时指挥着这个大型贩毒集团的运作。
毒品走私洗钱链
正如今天的案例所示,大型贩毒组织利用稳定币来降低运营成本,从而最大化利润,因为稳定币的价格与美元具有可比性。然而,稳定币的使用也为执法部门提供了在区块链上查封资产的机会,因为发行方可以阻止任何进一步的转移。Wedding 的 USDT_TRX 钱包以及其他相关钱包已于 7 月被Tether冻结。
贩毒集团的洗钱活动也需要全球协作,有时甚至会牵涉到看似毫不相关的行业的同伙。与韦丁一同被列入制裁名单的九人包括他的妻子(她替他洗钱)、一名通过其珠宝生意洗钱的加拿大珠宝商,以及来自意大利和英国的众多其他人员。在链上,韦丁的洗钱同伙会将USDT拆分成更小的份额,然后再将资金转入韦丁控制的钱包。
婚礼与加密货币的关系
Wedding名下的三个TRX地址被美国财政部外国资产控制办公室(OFAC)列入制裁名单。Wedding共收到价值超过2.63亿美元的USDT_TRX。如下图所示,这些钱包与Chainalysis识别出的中国化工制造商存在间接关联。此外,它们还与其他参与卡特尔洗钱活动的中间洗钱钱包有着密切联系。
这种链上行为揭示了洗钱活动与值得信赖的中国化学品制造商之间的联系,这些制造商提供从合成毒品前体到稀释剂等各种产品,以稀释可卡因,服务对象包括暗网卖家和更大规模的犯罪集团。
上图显示,为Wedding洗钱的同一伙人/团伙也参与了化学品的采购;至于这些化学品是为Wedding还是为其他犯罪分子采购,目前尚不清楚。然而,该图表明,洗钱所得与重新投入供应链之间存在着快速高效的周转。
对加密货币合规性的影响
加密货币企业应加强对涉及新指定个人和实体的交易的审查。
组织应该:
- 对照更新后的OFAC制裁名单和Chainalysis数据,对所有交易进行筛查;
- 监控与先前指定的安全主机提供商(如 AEZA Group 和 ZServers)的连接;
- 对运营托管或基础设施服务的客户,特别是位于高风险司法管辖区的客户,实施更严格的尽职调查;
- 并留意与防弹主机支付流程一致的模式。
如果您想了解更多关于 Chainalysis 产品如何帮助您的组织免受制裁风险的信息,请点击此处申请演示。
本网站包含指向第三方网站的链接,这些网站并非由Chainalysis, Inc.或其关联公司(统称“Chainalysis”)控制。访问此类信息并不意味着Chainalysis与该网站或其运营者存在任何关联、认可、批准或推荐关系,Chainalysis亦不对其托管的产品、服务或其他内容承担任何责任。
本资料仅供参考,不构成任何法律、税务、财务或投资建议。读者在做出此类决定前应咨询自身顾问。Chainalysis 对读者因使用本资料而做出的任何决定或任何其他作为或不作为概不承担任何责任。
Chainalysis 不保证或担保本报告中信息的准确性、完整性、及时性、适用性或有效性,并且不对因该等材料任何部分的错误、遗漏或其他不准确之处而引起的任何索赔承担责任。
美国、英国和澳大利亚打击支持全球勒索软件行动的俄罗斯网络犯罪基础设施;美国打击全球毒品贩运网络的加密货币洗钱活动。这篇文章最初发表在Chainalysis 网站上。
