文章总结： 文章分析了网络犯罪从传统暗网向Signal、Telegram等加密应用迁移的影子网络趋势，指出70%犯罪集团利用这些工具进行勒索谈判与C2通信，导致情报盲区。文章对比了各平台特性及TTP演进，并建议通过行为监控、情报融合及技术升级来应对加密通讯带来的安全挑战。 综合评分： 86 文章分类： 威胁情报,网络安全,恶意软件

揭秘加密通讯应用背后的「影子网络」与黑产进化

原创

独眼情报

独眼情报

2026年1月8日 16:11 湖北

在当今的网络威胁中，威胁参与者正日益转向表面网络上的加密通信工具，以构建一个更具弹性和隐秘性的「影子网络」。这种迁移并非偶然，而是源于传统暗网基础设施的局限性，如高延迟和易受执法打击的风险。消息应用程序通过端到端加密和元数据最小化等特性，提供了一种「OpSec-by-Design」（设计即安全）的解决方案，使犯罪活动能够在表面网络上高效进行。

| 互联网层级 | 定义 | 可访问性 | 威胁格局特征 | | — | — | — | — | | 表层网 (Surface Web) | 已索引内容（如：谷歌、必应）。 | 标准浏览器。 | 网络钓鱼落地页、恶意广告、OSINT（开源情报）侦察、公开的公司数据。 | | 深网 (Deep Web) | 未索引内容（数据库、内网）。 | 标准浏览器（需要身份验证）。 | 窃取的凭证、受损的企业门户、云存储桶。 | | 暗网 (Dark Web) | 覆盖网络（Tor、I2P、Freenet）。 | 专用浏览器。 | 传统非法市场（毒品、数据）、泄露网站、技术论坛（如 XSS、Exploit）。 | | 影子网 (Shadow Web) | 加密应用层。 | 标准应用（Signal、Session、Matrix）。 | 勒索软件谈判、实时战术协调、IAB（初始访问经纪人）市场、C2（命令与控制）。 |

关键发现

• 迁移趋势：威胁参与者从 Tor 和 I2P 等传统暗网转向具备隐私保护应用程序，以降低延迟并提升操作弹性。根据近期执法报告，超过 70% 的已知网络犯罪集团在使用至少一种隐私保护应用程序进行谈判协商。
• 平台多样性：Telegram 和 Signal 等流行应用已成为「轻量型暗网」，而 Session ， Matrix和 Tox 等去中心化协议则提供更高级的匿名性。
• TTP（技术、战术与流程） 演进：威胁参与者利用这些工具的特性进行凭证窃取、横向移动和持久化，结合如 SessionGopher 之类的专用工具增强攻击链。
• 情报盲区：隐私保护应用程序的加密性质导致网络威胁情报出现可见性危机，迫使防御者依赖人为情报和自动化取证工具。
• 监管影响：近期执法行动，如针对特定犯罪平台的拆除，凸显了隐私保护应用程序在全球网络犯罪生态中的双刃剑作用。

隐私保护应用程序的分类与拓扑结构

从威胁情报角度，将 隐私保护应用程序 分为两大类：中心化平台（如 Telegram 和 Signal）和去中心化协议（如 Session、Matrix 和 Tox）。中心化平台依赖单一提供商的服务器，便于用户友好性，但易受元数据泄露；去中心化协议则采用点对点（P2P）或联邦架构，分散风险，提高抗审查能力。

拓扑结构上，这些工具常融入混合网络：例如，Telegram 群组用于初始招募，Signal 用于敏感谈判，而去中心化选项如 Tox 则处理高风险数据交换。这种分层方法增强了威胁参与者的 OpSec，减少单一故障点。

平台具体分析

Telegram：网络犯罪的入口级工具

Telegram 以其群组功能和机器人 API 闻名，已成为威胁参与者的首选平台。情报显示，黑市如 Genesis Market 常用 Telegram 频道分发窃取凭证。威胁参与者利用其文件共享和自毁消息功能，进行恶意软件分发和 C2 通信。尽管 Telegram 声称不存储用户数据，但其云同步特性可能暴露元数据，导致执法渗透，如 2023 年针对俄罗斯关联黑客的行动。大量威胁行为者也经常使用 tg 用来分发信息。

Signal：高隐私标准的双刃剑

Signal 的 E2EE 和无电话号码选项，使其在勒索软件集团中流行。BianLian 和 Black Basta 等参与者使用 Signal 进行受害者谈判，避免传统电子邮件的追踪。近期取证揭示，Signal 的「链接设备钓鱼」漏洞被利用，用于持久访问。然而，其开源性质允许审计，防御者可通过行为分析检测异常。

Session：洋葱路由的匿名堡垒

Session 基于 Lokinet 协议，集成洋葱路由，无需电话号码注册，元数据最小化。这使其成为高价值目标的理想选择。CTI 报告显示，APT 集团利用 Session 的群组功能协调供应链攻击。专用工具如 SessionGopher 可从内存中提取会话 ID，可以通过此类 TTP 以映射参与者网络。

Matrix：被黑产利用的联邦式协议

需区分开源 Matrix 协议与已拆除的犯罪平台「MATRIX」。前者采用联邦服务器架构，支持桥接其他协议，增强互操作性。威胁参与者通过自托管 Matrix 服务器进行内部通信，避免中心化瓶颈。2024 年 Europol 行动拆除了一个名为「MATRIX」的专用犯罪实例，揭示其用于毒品交易和洗钱。该协议的插件扩展性允许集成加密货币钱包，进一步融入地下经济。

Tox：去中心化 P2P 通信的隐秘通道

Tox 作为一个开源的点对点即时消息协议，依赖分布式哈希表进行节点发现，无需中央服务器，这大大降低了被执法关停的风险。其端到端加密支持文本、语音和视频通话，结合独特的 Tox ID 系统，提供高度匿名性。

威胁情报显示，Tox 常被用于小规模犯罪网络，如独立黑客或小型勒索团伙，进行凭证交换和恶意软件协作。在某些地下论坛中，Tox ID 被作为联系方式，绕过传统平台的监控。其去中心化特性使其特别适合规避地理限制，但也引入了潜在弱点：分布式哈希表网络易受 Sybil 攻击。近期审计显示其基于 NaCl 库，抗量子能力有限。

威胁参与者的 TTPs

威胁参与者的战术、技术和流程（TTPs）在隐私保护应用程序中高度适应化。典型链路包括：

1. 初始接入：通过社交工程在 Telegram 招募。
2. 谈判与协调：使用 Signal 或 Tox 进行加密对话。
3. 数据外泄：Session 的群组用于共享窃取数据。
4. 持久化：Matrix 桥接实现跨平台 C2。
5. 规避检测：结合 VPN 和自毁消息，减少数字足迹。

勒索软件谈判是关键用例：参与者利用 隐私保护应用程序 的实时性，施压受害者支付比特币。情报显示，Conti 集团的继承者已转向这些工具，以应对传统 C2 的拆除。

CTI 挑战：可见性危机

隐私保护应用程序 的加密壁垒导致情报盲区。传统信号情报（SIGINT）如流量分析失效，迫使转向人力情报（HUMINT）和开源情报（OSINT）。自动化工具如凭证提取器可从端点取证，但需遵守法律框架。未来，量子计算威胁端到端加密。

平台综合比较矩阵

| 平台 | 加密类型 | 去中心化 | 常见威胁用例 | 情报挑战 | | — | — | — | — | — | | Telegram | E2EE（可选） | 否 | 黑市分发、初步引流 | 元数据泄露、中心化存储 | | Signal | E2EE | 否 | 勒索谈判、敏感协调 | 链接设备漏洞 | | Session | E2EE + Onion | 是 | APT 协调、供应链攻击 | 节点追踪难、完全匿名 | | Matrix | E2EE + 联邦 | 是 | 内部 C2、地下经济集成 | 服务器联邦化、自托管审计难 | | Tox | E2EE + P2P | 是 | 凭证交换、小规模恶意协作 | 分布式哈希表攻击复杂、无服务器日志 |

建议

隐私保护应用程序的兴起重塑了影子网络，防御策略应包括：

• 行为监控：部署 EDR 检测异常通信模式及私密应用进程。
• 情报融合：结合 HUMINT 和自动化爬虫映射参与者网络。
• 技术升级：研究针对 P2P 协议的流量指纹识别。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 独眼情报《揭秘加密通讯应用背后的「影子网络」与黑产进化》