从暗网到制裁：Aeza Group 防弹托管服务商如何成为网络犯罪的“隐形支柱”

查找币:余老师 | 漏洞披露 | 2026-05-09 20:04 | 5 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 一、事件背景：美国财政部制裁俄罗斯托管服务商 2025年7月，美国财政部外国资产控制办公室（OFAC）正式宣布对俄罗斯托管服务商 **Aeza Group** 及其关联实体实施制裁。理由明确：该公司长期为勒索软件团伙、信息窃取工具运营者及暗网毒品市场提供“防弹托管”服务。此次制裁行动覆盖范围广泛，包括： - **核心实体**：Aeza Group（俄罗斯总部）、Aeza International Ltd.（英国前台公司） - **俄罗斯子公司**：Aeza Logistic LLC、Cloud Solutions LLC - **高管人员**：CEO Arsenii Penzev、总监 Yurii Bozoyan、技术总监 Vladimir Gast、管理人 Igor Knyazev - **加密资产**：一个被标识的USDT钱包地址（TU4tDFRvcKhAZ1jdihojmBWZqvJhQCnJ4F）美国财政部反恐与金融情报代理副部长 Bradley T. Smith 在声明中强调：“网络犯罪分子仍严重依赖 Aeza Group 这样的防弹托管服务商，来发动破坏性勒索软件攻击、窃取美国技术并销售黑市毒品。” 这一事件标志着国际执法机构的打击策略正在发生根本性转变——从单纯追捕攻击者，延伸至切断支撑其犯罪活动的技术基础设施与服务商。 ## 二、Aeza Group 是谁？——防弹托管服务商的运作模式 Aeza Group 总部位于俄罗斯圣彼得堡，是一家典型的 **防弹托管服务提供商（Bulletproof Hosting, BPH）** 。所谓“防弹托管”，是指托管服务商明知客户从事非法活动（如勒索软件、数据窃取、毒品交易），仍提供服务器资源、匿名通信通道及抗投诉机制，帮助犯罪团伙规避执法追踪。根据 OFAC 披露的信息，Aeza Group 的客户清单令人触目惊心： | 客户类型 | 具体案例 | 危害描述 | |---------|---------|---------| | 信息窃取工具运营方 | Lumma、Meduza | 曾对美国国防工业基地和全球科技公司发动攻击 | | 勒索软件与数据窃取团伙 | BianLian、RedLine | 实施大规模勒索攻击，窃取敏感数据 | | 暗网毒品市场 | Blacksprut | 俄罗斯著名暗网市场，用于芬太尼等合成毒品的全球分销 | 特别值得注意的是，Aeza 不仅为 Blacksprut 提供托管服务，还直接参与了该平台的技术架构建设。这意味着，该托管商已从“被动提供资源”升级为“主动参与犯罪生态构建”。 ## 三、链上追踪：查找币追踪系统深度分析查找币安全团队利用 **查找币追踪系统**，对被制裁钱包地址（TU4tDFRvcKhAZ1jdihojmBWZqvJhQCnJ4F）进行了全面的链上反洗钱分析。 ### 3.1 资金活动概况该地址自 **2023年** 开始活跃，截至制裁发布时，已累计接收超过 **35万美元** 的USDT。资金流向呈现明显的洗钱特征： - **向知名交易平台/OTC转出资产**：如 Cryptomus、WhiteBIT 等，用于资金清洗 - **与被制裁实体关联**：如 Garantex、Lumma 等已被OFAC制裁的实体 - **与Stealer-as-a-Service平台关联**：通过Telegram推广的信息盗窃即服务平台 - **与暗网毒品市场Blacksprut关联**：直接与毒品交易地址存在交互 ### 3.2 交易对手分析通过查找币追踪系统的 **交易对手功能**，我们对该地址的交互对象进行了占比分析： - **交易所/OTC平台**：占比约45%，主要用于资金变现 - **被制裁实体**：占比约20%，包括已知的勒索软件团伙 - **暗网市场相关地址**：占比约15%，与Blacksprut等平台高度关联 - **其他风险地址**：占比约20%，包括钓鱼、诈骗等高风险地址 ### 3.3 制裁后的异常活动值得注意的是，在 OFAC 宣布制裁的 **当日（7月2日）**，Aeza 的 Telegram 群组仍在活跃运营。管理员发布了两个备用网址，声称用于“防止用户无法顺利登陆主站点”。经查询，这两个备用域名的注册时间恰好为制裁公布当天。这一行为表明，Aeza 团队在面临制裁时，仍在试图维持其犯罪基础设施的可用性。 ## 四、威胁分析与风险警示 ### 4.1 对企业的威胁 - **连带制裁风险**：任何与 Aeza Group 或其客户存在业务往来的企业、交易所、服务商，都可能面临连带制裁 - **基础设施污染**：使用 Aeza 提供的服务器或IP地址，可能被执法机构标记为高风险 - **数据泄露风险**：Aeza 的客户包含信息窃取工具运营方，其服务器可能存储大量受害者数据 ### 4.2 对加密生态的警示 - **KYC/KYT不再是“选做题”**：合规机构必须对交易对手进行充分的风险评估 - **链上追踪能力至关重要**：只有通过专业的链上反洗钱工具，才能识别出与高风险实体的关联 - **Telegram等即时通讯工具成为犯罪新阵地**：Aeza 在制裁后仍通过Telegram维持运营，表明监管需延伸至社交媒体 ## 五、防护建议与合规要点 ### 5.1 对交易所与合规团队 1. **加强KYT（了解你的交易对手）**：将查找币追踪系统等链上分析工具集成到风控流程中，实时监控与高风险地址的交互 2. **持续更新制裁名单**：OFAC、EU等监管机构的制裁名单需实时同步，避免与被制裁实体产生业务关联 3. **建立异常行为预警机制**：对涉及俄罗斯、暗网市场、勒索软件团伙等标签的地址进行重点监控 ### 5.2 对企业安全团队 1. **审查基础设施供应商**：避免使用已知的防弹托管服务商或与其存在关联的IP段 2. **加强威胁情报共享**：与行业安全社区保持联动，及时获取最新风险地址和攻击手法 3. **部署链上监控能力**：即使不直接涉及加密资产，企业也应关注链上威胁情报，防范勒索软件攻击 ## 六、结语对 Aeza Group 的制裁表明，全球监管正在将打击目标从攻击者延伸到其背后的技术服务网络。托管商、匿名通信工具、支付通道，正成为合规打击的新焦点。未来合规监管的重点，不只是识别谁收了钱，还要查清谁为犯罪服务提供了算力、流量与匿名性。目前，由查找币安全团队开发的 **查找币追踪系统** 已积累 **三亿多个地址标签**、**一千多家实体**、**50万+威胁情报数据**、**9000万+风险地址**，成为监管与合规团队识别风险、拦截资金的重要工具。在Web3安全日益严峻的今天，只有通过专业、持续的技术投入，才能有效应对不断演变的网络犯罪生态。 --- *本文由查找币安全团队整理发布*

从暗网到制裁：Aeza Group 防弹托管服务商如何成为网络犯罪的“隐形支柱”

查找币安全研究院

主题延伸阅读