文章总结： Rapid7对2025年暗网初始访问代理市场的分析显示，市场重心从传统论坛转向DarkForums和RAMP，高价值目标访问价格暴涨4055%，主要销售RDP/VPN/RDWeb等高权限访问。政府、零售、IT行业最受攻击，防御建议包括实施最小权限、强化MFA、监控异常登录以快速响应威胁。 综合评分： 92 文章分类： 威胁情报,漏洞分析,渗透测试,安全运营,解决方案

Rapid7深度分析：2025年暗网初始访问代理市场趋势、定价与论坛格局

bitbot bitbot

Desync InfoSec

2026年4月2日 20:24 北京

初始访问代理（Initial Access Brokers, IABs）是网络犯罪生态系统的关键组成部分，为勒索软件、数据窃取和敲诈勒索提供即插即用的基础设施。Rapid7 对 2025 年下半年五大暗网论坛的分析揭示了一个重要趋势：初始访问销售的权力重心正从传统论坛（如 XSS、Exploit）转向新兴市场（如 RAMP 和 DarkForums）。更高的要价、对政府、零售和 IT 等高价值行业的集中关注，揭示了一个成熟且以利润为导向的 IAB 市场。

本文重点介绍关键的访问趋势和定价，定位最受攻击的行业和地区，并提供可操作的建议，帮助安全团队识别和隔离通过流行的 IAB 产品发生的潜在入侵。

────────────────

核心发现

我们对 Exploit、XSS、BreachForums、DarkForums 和 RAMP 五个论坛六个月数据的详细分析揭示了以下关键发现：

🔸 访问价格和目标组织规模急剧上升：与上一年相比，受害者的平均声称收入和报价基准价格显著增加，表明 IAB 正在瞄准更大、更高价值的企业，并为高质量访问收取溢价。

🔸 主要访问向量未变：RDP、VPN 和 RDWeb 仍然是出售的顶级访问向量，这意味着远程访问基础设施仍然是初始访问销售的主要攻击面。

🔸 高权限访问越来越受重视：IAB 提供的最常见权限级别是域用户（42.9%）、域管理员（32.1%）和本地管理员（12.5%），低权限（如本地用户）明显下降。市场正从”量”转向”质”。

🔸 特定暗网市场更受欢迎：DarkForums（221 帖）和 RAMP（208 帖）是 H2 2025 最活跃的 IAB 论坛，合计占 81%。传统论坛 XSS 和 Exploit 的 IAB 活动显著下降。

🔸 IAB 针对特定行业：IAB 活动主要集中在提供最高潜在财务回报或情报获取的行业：政府、零售和 IT。

🔸 政府访问备受关注：政府行业是最常被攻击的行业垂直领域，占比 14.2%（零售 13.1%，IT 10.8%）。

────────────────

2026 年 IAB 与暗网论坛格局

与 2025 年一样，暗网论坛继续充当被盗网络访问的推广和销售的主要市场。Exploit、BreachForums、XSS、DarkForums 和 RAMP 等平台在 2025-2026 年仍然是网络犯罪地下经济的中心支柱——尽管执法部门持续施压、基础设施被没收、反复经历破坏和重生的周期。Rapid7 威胁情报研究人员扩大了监控范围，跟踪所有五个论坛的活动，时间跨度为 2025 年 1 月至 12 月，主要目标是基准化 IAB 活动和相关服务。

五大论坛综合数据分析

去年，我们在《Rapid7 2025 年初始访问代理报告》中分析了三个主要论坛：Exploit、XSS 和 BreachForums。今年我们新增了两个非常活跃的论坛：DarkForums 和 RAMP。

事实上，新增论坛是过去六个月中 IAB 活动最活跃的：DarkForums 以 221 个销售帖领先，其次是 RAMP（208 个），然后是 Exploit（53 个）、Breached（30 个）和 XSS（18 个）。这可能表明新旧论坛之间的流行度正在发生转变。

被出售访问权限的组织平均声称收入为 32.42 亿美元，报价的平均基准价格为 113,275 美元。需要指出的是，受害者收入数据由代理根据自己的在线研究提供，因此可能不完全准确。

与去年（平均收入 22.32 亿美元，平均基准价格 2,726 美元）相比，两个数字都有显著增长——平均基准价格上涨约 4055%。这些数字尤其受 DarkForums 的影响，该论坛在两个指标上都呈现出极高的数值。

────────────────

初始访问向量与权限类型

对出售的访问类型分析揭示了 29 种不同的访问类型。最常出现的访问类型是 RDP（21.2%，91 个报价）、VPN（12.8%，55 个报价）和 RDWeb（11.2%，48 个报价）。

最常见的权限类型是域用户（144 个实例，42.9%），其次是域管理员（108 个，32.1%）和本地管理员（42 个，12.5%）。

在许多观察到的案例中，VPN 和 RDWeb 访问以域用户权限出售，而 RDP 则以域用户或域管理员权限出售。

如果将前 5 种访问类型的销售数据与去年相比，可以看到 RDP 访问已经变得比 VPN 更普遍，尽管两者仍然是领先的类别。此外，RDWeb 在卖家中更受欢迎。

至于权限类型，域用户权限虽然仍是最常销售的权限级别，但其主导地位有所下降。此外，新数据集完全没有提及本地用户权限。这一转变可能反映了 IAB 货币化策略的演变和买家需求的变化。本地用户权限的完全消失表明其操作相关性和转售价值正在降低，因为威胁参与者越来越优先选择有助于横向移动、权限提升和快速操作影响的访问方式。

────────────────

Oracle E-Business Suite 0day：CVE-2025-61882

在 RAMP 论坛上，我们观察到一个针对 Oracle E-Business Suite 漏洞的利用工具正在出售。

CVE-2025-61882 是 Oracle E-Business Suite（版本 12.2.3–12.2.14）中的一个严重漏洞。该漏洞允许未经认证的攻击者通过 HTTP 执行任意代码，导致系统完全被攻陷。

该漏洞已被 Cl0p 犯罪组织作为 0day 利用，窃取财务和人力资源数据进行后续勒索，相关记录见 Rapid7 博客。

────────────────

目标国家与行业

对地下非法网络访问市场的综合分析显示，大多数可用列表涉及美国网络，共计 155 个独特列表。这一数字占全球可购买非法网络访问总量的 30.9%。

前 10 名目标国家名单与去年非常相似，美国以较大差距领先，其次是英国、印度和巴西。

分析显示明显的行业集中：政府部门是最常被攻击的类别（14.2%），其次是零售业（13.1%），因支付卡信息和个人可识别信息的价值；IT 行业排名第三（10.8%），因其作为供应链攻击跳板的潜力。

与前 10 名国家名单不同，前 10 名目标行业名单与去年大不相同——去年以金融服务和 IT 行业为主，政府和零售行业的访问供应很少。这可能是因为今年的分析包含了 DarkForums，该论坛通常有很多卖家提供政府网络访问。

────────────────

五大论坛逐个分析

以下是对五个论坛的详细逐个分析，涵盖其历史、运营和 2025 年下半年的关键趋势，包括常见的非法列表、典型基准价格范围和频繁被攻击的地区。

Exploit

Exploit 继续作为技术最严格的俄语网络犯罪论坛之一运营。历史上专注于漏洞利用、恶意软件开发和高端 IAB 产品，在过去两年中保持了相对稳定的运营态势。2024 至 2026 年间，它越来越多地成为企业网络访问、VPN 和 EDR 绕过立足点的交易场所，而非普通凭据销售。

与去年专注于 RDP 访问不同，H2 2025 数据显示 Exploit 的 IAB 更关注 RDWeb。从 RDP 到 RDWeb 的转变可能是由于直接暴露 RDP 协议的防御能力增强。美国仍是最常被攻击的国家（约 40%）。有趣的是，虽然目标组织的平均声称收入从约 3.14 亿美元降至仅 5,800 万美元，但报价基准价格却比去年高出 6 倍。

BreachForums（又称 Breached）

BreachForums 经历了最剧烈的波动。在 2023-2024 年多次被没收和逮捕后，该论坛经历了数次重启。到 2025 年，BreachForums 主要重新定位为以数据泄露为中心的市场，较少强调技术漏洞利用。今年 IAB 帖子数量减少约 52%，可能是因为 IntelBroker（真名：Kai West）被执法部门逮捕。

XSS（原 DaMaGeLaB）

XSS 保持了其作为初始访问销售、勒索软件合作伙伴关系和企业环境凭据访问的顶级俄语论坛的地位。但与去年相比变化最大——从最主导的 IAB 论坛变成了五个论坛中最低的。2025 年下半年仅发现约 20 个帖子（2024 年近 200 个）。这种下降可能是由于许多 IAB 转向了更新的论坛，如 DarkForums 和 RAMP。

DarkForums

DarkForums 作为英语替代方案崛起，在 BreachForums 反复中断后获得了知名度。2024-2026 年间，DarkForums 将自己定位为混合市场，融合了泄露数据销售、中低端 IAB 产品和欺诈服务。虽然缺乏 Exploit 或 XSS 的技术深度，但它已成为新兴攻击者的关键入口，尤其是那些操作窃取恶意软件或转售通过钓鱼和 MFA 疲劳攻击获得的访问权限的人。

DarkForums 是今年新增的两个论坛之一，在 IAB 帖子数量上居主导地位。它有一个独特的访问类型——Fortinet 访问领先，其次是 SSH、RDP 和 Root 访问。Fortinet 访问主要由一个非常活跃的用户 BigBro 出售。有趣的是，我们还发现了另一个用户 Big-Bro 在 RAMP 上活跃，很可能是同一个人。

RAMP（Russian Anonymous Marketplace）

RAMP 在执法部门早期干扰后恢复以来，一直作为高信任度、仅限邀请的生态系统运营。到 2025-2026 年，RAMP 巩固了其作为勒索软件附属公司、IAB 和套现服务的汇聚点的角色。观察到的列表强调完全域访问、长期持久性和收入分享模式，反映了成熟的、以合作伙伴关系驱动的网络犯罪经济。

RAMP 是另一个新增论坛，IAB 帖子数量排名第二。最主导的访问类型是 RDP，其次是 VPN 和 Citrix。最常见的权限类型是域用户（56.4%）和域管理员（33.9%）。值得注意的是，分析的大多数帖子（78.8%）仅属于两个用户：Big-Bro 和一名据称是阿尔巴尼亚人的用户 lacrim。在美国，RAMP 中美国是最常被攻击的国家（36.5%），平均声称目标组织收入约 4.4 亿美元，平均基准价格约 6,400 美元。

────────────────

跨论坛活跃的威胁参与者

研究发现，一部分威胁参与者在多个论坛上保持活跃，重叠最大的是 Breached 和 DarkForums。这种重叠是可以理解的，因为 DarkForums 是有意设计为 Breached 频繁执法干扰后的”精神继承者”和一对一替代品。因此，两个平台共享几乎相同的视觉和结构布局，都使用 MyBB 论坛软件。

────────────────

防御建议

没有任何安全策略可以一成不变。仅靠政策框架和合规控制是不够的。持续监控现实世界的访问行为至关重要。异常登录、意外的权限提升、在正常工作时间之外的访问或来自不熟悉位置的活动都应被视为入侵的早期指标。

主动威胁情报进一步使防御者能够预见哪些访问方法最可能被攻击。有效的防御需要使被盗访问难以利用。执行最小权限原则、严格控制管理权限、使用 MFA 加固远程访问服务、加速入侵检测——这些都能有效限制攻击者的升级和持久化能力。虽然入侵仍可能发生，但快速识别和遏制可以防止它们演变为全面事件。

────────────────

结论

2024 年与 2025 年的比较突显了初始访问代理如何持续适应日益强大的防御措施。随着组织加强安全态势，攻击者改进了他们窃取和变现的访问类型以维持有效性。2025 年，高权限凭据（如域管理员或本地管理员账户）将获得更大价值，因为它们能实现快速横向移动和即时操作影响，留给防御者很少的检测和响应时间。低权限访问的价值正在稳步下降，标志着从以量驱动的访问销售转向注重质量和影响的明显转变。

访问向量也在同步演变。随着 VPN 基础设施变得更坚固和受到更密切的监控，攻击者正在转向操作上关键、广泛暴露且通常受到较少严格审查的 RDP、RDWeb 和 SSH 服务。这种转变反映了一种务实的”最小阻力路径”策略，而非攻击者能力的下降。

来源：Rapid7 Labs

原文：https://www.rapid7.com/blog/post/tr-initial-access-broker-shift-high-value-targets-premium-pricing/

时间：2026-04-02

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《Rapid7深度分析：2025年暗网初始访问代理市场趋势、定价与论坛格局》