太長不看
- 美國財政部外國資產控制辦公室 (OFAC) 與英國和澳大利亞協調,將俄羅斯防彈主機提供商 Media Land, LLC 及其網絡指定為網絡犯罪活動(包括勒索軟件攻擊)的實施方。
- 此次行動涉及一個與 Aleksandr Volosovik(別名“Yalishanda”)關聯的比特幣地址,但 Chainalysis 正在監控數千個與他有關的地址和數百萬美元的交易。
- Volosovik 的託管服務幾乎支持網絡攻擊鏈的每一個環節,為地下交易所、洗錢服務、詐騙犯、黑客和勒索軟件運營商提供服務,其中包括受制裁的LockBit管理員 Dmitry Khoroshev。
- 2025 年 7 月,在OFAC 將 AEZA 集團列入指定名單後不久,多家指定實體成立,這表明有人試圖通過新的公司結構繼續運營。
- 此次三方行動表明,國際社會繼續關注破壞網絡犯罪的基礎設施層面,而不是僅僅追究個別威脅行為者的責任。
- 此外,美國財政部外國資產控制辦公室(OFAC)還對加拿大前奧運會單板滑雪運動員瑞安·詹姆斯·韋丁及其九名親信實施了制裁。他被指控經由墨西哥和哥倫比亞販運可卡因,然後銷往美國和加拿大。
支持勒索軟件的俄羅斯網絡犯罪基礎設施
2025年11月19日,美國財政部外國資產控制辦公室(OFAC)與英國和澳大利亞的對口機構協調,將一個俄羅斯安全託管服務提供商網絡及其相關人員列入制裁名單,理由是他們為網絡犯罪活動(包括勒索軟件攻擊)提供了便利。此次制裁的目標是Media Land, LLC及其關聯實體,以及運營該基礎設施的關鍵人員,該基礎設施為全球惡意網絡行動提供了便利。
防彈主機:網絡犯罪的關鍵基礎設施
防彈主機提供商提供的互聯網基礎設施服務旨在無視濫用投訴,並將惡意內容託管在被查封的風險降至最低。這些服務對於網絡犯罪分子進行勒索軟件攻擊、 網絡釣魚、惡意軟件傳播、DDoS攻擊和其他惡意活動至關重要。通過提供能夠抵禦執法部門行動和濫用報告的託管服務,這些提供商使犯罪分子能夠為其非法活動維護持久的基礎設施。
現代網絡犯罪基礎設施通過跨越傳統國界的複雜網絡運作。支撐這些行動的技術基礎設施通常涉及多個相互連接的實體。在本案中,被指定的實體包括 Media Land LLC、Media Land Technology LLC、Data Center Kirishi LLC 和 ML.Cloud LLC。Media Land 網絡展示了這些行動如何通過互聯實體的分佈式結構來維持其韌性。通過在多個司法管轄區建立據點,這些網絡利用監管漏洞並人為製造複雜性來保護自身免受干擾。
AEZA集團的聯繫
此次被列入制裁名單的多個實體和個人與AEZA集團有限責任公司有關聯,該公司此前已於2025年7月被美國財政部外國資產控制辦公室(OFAC)列入制裁名單,原因是其提供“防彈”主機託管服務。今天的制裁行動擴大了此前的制裁範圍,將同一生態系統中的其他個人和實體也列入其中。與AEZA集團有關聯的馬克西姆·馬卡羅夫和伊利亞·扎基羅夫因其在支持該網絡運營中所扮演的角色而被列入制裁名單。
該認定範圍還包括一些實體,這些實體似乎是為了在之前的執法行動後繼續運營而設立的。例如,位於烏茲別克斯坦的Datavice MCHJ和位於英國的Hypercore Ltd均成立於2025年7月,即AEZA集團被認定為受制裁實體後不久,這表明它們試圖通過新的公司架構來維持運營。
加密貨幣基礎設施
美國財政部外國資產控制辦公室(OFAC)在今天的制裁名單中列入了一個比特幣地址(18dLDAWi8LmrHbEq3QzDJb9SLxCf4uimXB),該地址與Aleksandr Volosovik有關,他也使用“Ohyeahhellno”、“podzemniy1”和“Yalishanda”等別名。雖然制裁名單中只列出了一個地址,但Chainalysis正在監控數千個與Yalishanda及其企業有關的地址和價值數百萬美元的加密貨幣交易。
Yalishanda 的託管服務幾乎支撐了網絡攻擊鏈的每一個環節,從訪問權限到貨幣化,無所不包。鏈上分析顯示,Yalishanda 被地下交易所、洗錢服務提供商、詐騙犯、黑客、出售訪問權限和惡意軟件即服務的個人,以及勒索軟件運營者及其關聯人員所利用,其中尤其值得注意的是,包括受制裁的 Lockbit 勒索軟件管理員 Dmitry Khoroshev(又名 Lockbitsupp)。事實上,Yalishanda 迎合了犯罪客戶的需求, Chainalysis Reactor圖表顯示,Yalishanda 多次向地下市場付款,表面上是支付其服務的廣告費。
國際協調應對網絡威脅
今天的行動代表了美國、英國和澳大利亞三國為打擊網絡犯罪基礎設施而開展的協調一致的三方合作。鑑於防彈託管服務的全球性及其被世界各地網絡犯罪分子利用,這種國際合作至關重要。
根據《 烏克蘭/俄羅斯相關制裁條例》,此項指定會帶來二級制裁風險,這意味著非美國人士與被指定方進行某些交易可能面臨制裁。這一擴大的制裁框架加大了對這些網絡的壓力,使國際服務提供商和金融機構與這些網絡開展業務的風險更高。
針對網絡犯罪基礎設施的模式
此舉延續了美國財政部外國資產控制辦公室(OFAC)的戰略,即打擊網絡犯罪的基礎設施層面,而非僅僅追究個別威脅行為者的責任。近期類似行動包括:
- 2025年7月:美國財政部外國資產控制辦公室(OFAC)將AEZA Group LLC列入制裁名單,原因是其提供防彈託管服務。
- 2025年2月:美國財政部外國資產控制辦公室(OFAC)將ZServers列入制裁名單,原因是其存在類似的“防彈”託管活動。
通過打擊網絡犯罪分子所依賴的託管服務提供商、支付處理商和技術基礎設施,執法部門可以同時擾亂多個犯罪活動,並增加威脅行為者的運營成本和風險。
由前奧運選手運營的全球販毒集團
美國財政部外國資產控制辦公室(OFAC)對前加拿大單板滑雪運動員瑞安·詹姆斯·韋丁(Ryan James Wedding)及其九名親信實施制裁。韋丁曾參加2002年冬季奧運會。他被控經由墨西哥和哥倫比亞販運可卡因,並在美國和加拿大銷售。根據美國財政部和司法部發布的新聞稿,韋丁以暴力犯罪著稱,曾策劃在拉丁美洲、加拿大和美國各地殺害數十人。
韋丁目前在聯邦調查局十大通緝犯名單上,據信他藏身於墨西哥,同時指揮著這個大型販毒集團的運作。
毒品走私洗錢鏈
正如今天的案例所示,大型販毒組織利用穩定幣來降低運營成本,從而最大化利潤,因為穩定幣的價格與美元具有可比性。然而,穩定幣的使用也為執法部門提供了在區塊鏈上查封資產的機會,因為發行方可以阻止任何進一步的轉移。Wedding 的 USDT_TRX 錢包以及其他相關錢包已於 7 月被Tether凍結。
販毒集團的洗錢活動也需要全球協作,有時甚至會牽涉到看似毫不相關的行業的同夥。與韋丁一同被列入制裁名單的九人包括他的妻子(她替他洗錢)、一名通過其珠寶生意洗錢的加拿大珠寶商,以及來自意大利和英國的眾多其他人員。在鏈上,韋丁的洗錢同夥會將USDT拆分成更小的份額,然後再將資金轉入韋丁控制的錢包。
婚禮與加密貨幣的關係
Wedding名下的三個TRX地址被美國財政部外國資產控制辦公室(OFAC)列入制裁名單。Wedding共收到價值超過2.63億美元的USDT_TRX。如下圖所示,這些錢包與Chainalysis識別出的中國化工製造商存在間接關聯。此外,它們還與其他參與卡特爾洗錢活動的中間洗錢錢包有著密切聯繫。
這種鏈上行為揭示了洗錢活動與值得信賴的中國化學品製造商之間的聯繫,這些製造商提供從合成毒品前體到稀釋劑等各種產品,以稀釋可卡因,服務對象包括暗網賣家和更大規模的犯罪集團。
上圖顯示,為Wedding洗錢的同一夥人/團伙也參與了化學品的採購;至於這些化學品是為Wedding還是為其他犯罪分子採購,目前尚不清楚。然而,該圖表明,洗錢所得與重新投入供應鏈之間存在著快速高效的週轉。
對加密貨幣合規性的影響
加密貨幣企業應加強對涉及新指定個人和實體的交易的審查。
組織應該:
- 對照更新後的OFAC制裁名單和Chainalysis數據,對所有交易進行篩查;
- 監控與先前指定的安全主機提供商(如 AEZA Group 和 ZServers)的連接;
- 對運營託管或基礎設施服務的客戶,特別是位於高風險司法管轄區的客戶,實施更嚴格的盡職調查;
- 並留意與防彈主機支付流程一致的模式。
如果您想了解更多關於 Chainalysis 產品如何幫助您的組織免受制裁風險的信息,請點擊此處申請演示。
本網站包含指向第三方網站的鏈接,這些網站並非由Chainalysis, Inc.或其關聯公司(統稱“Chainalysis”)控制。訪問此類信息並不意味著Chainalysis與該網站或其運營者存在任何關聯、認可、批准或推薦關係,Chainalysis亦不對其託管的產品、服務或其他內容承擔任何責任。
本資料僅供參考,不構成任何法律、稅務、財務或投資建議。讀者在做出此類決定前應諮詢自身顧問。Chainalysis 對讀者因使用本資料而做出的任何決定或任何其他作為或不作為概不承擔任何責任。
Chainalysis 不保證或擔保本報告中信息的準確性、完整性、及時性、適用性或有效性,並且不對因該等材料任何部分的錯誤、遺漏或其他不準確之處而引起的任何索賠承擔責任。
美國、英國和澳大利亞打擊支持全球勒索軟件行動的俄羅斯網絡犯罪基礎設施;美國打擊全球毒品販運網絡的加密貨幣洗錢活動。這篇文章最初發表在Chainalysis 網站上。
