文章总结： 2026年4月，勒索组织0APT与KryBit爆发内斗，双方互泄运营数据。0APT被证实虚构190余受害者，基础设施运行于安卓手机；KryBit虽未获赎金但具备真实攻击能力。事件暴露比特币钱包、ToxID等威胁指标，Halcyon建议企业加强数据外传监控、隔离备份系统并部署反勒索方案，强调需从黑产内斗中提取可操作情报。 综合评分： 85 文章分类： 威胁情报,漏洞分析,恶意软件,实战经验,安全运营

“黑吃黑”大戏——从0APT与KryBit内斗看黑产江湖的生存法则

原创

网空闲话 网空闲话

网空闲话plus

2026年4月29日 07:20 北京

在小说阅读器读本章

去阅读

2026年4月中旬，勒索软件即服务（RaaS）生态上演了一场罕见的“黑吃黑”大戏。两个新兴勒索组织——0APT与KryBit——在短短三天内互相攻讦，将对方的运营数据、基础设施、内部面板乃至比特币钱包信息公之于众。这场内斗不仅让两个组织同时陷入瘫痪，也为安全研究者打开了一扇窥探勒索软件地下运作的罕见窗口。

一、两个“新人”的迥异开局

0APT于2026年1月29日登场。甫一亮相，它便在数据泄露博客上抛出超过190个受害者的惊人数字。然而这张华丽成绩单仅用一周时间就被安全界识破——所有声称的失窃数据均无法验证，没有任何证据表明这些企业真的遭遇了入侵。Halcyon的威胁评估指出，0APT确实开发了能在Windows和Linux系统上运行的功能性加密程序，技术上并非纯属空谈。但由于缺乏真实受害者背书，0APT未能吸引到附属成员，在最初的喧嚣过后陷入沉寂，整整四个月没有公开活动。

KryBit则于3月31日以截然不同的姿态进入市场。它提供覆盖Windows、Linux、ESXi和NAS设备的完整构建工具套件，采用业内通行的80/20分成模式——附属成员保留赎金的80%，运营者抽取20%。两周内，KryBit的数据泄露网站上挂出了10个经核实的受害组织，渗透行业广泛，单目标窃取数据量从10GB到250GB不等，赎金要求介于4万至10万美元之间。

表1：关键对比：0APT vs KryBit 初期表现

| 对比维度 | 0APT | KryBit | | — | — | — | | 首次出现时间 | 2026年1月29日 | 2026年3月31日 | | 宣称受害者数量 | 190+（全部虚构） | 10（均经核实） | | 平台支持 | Windows、Linux | Windows、Linux、ESXi、NAS | | 分成模式 | 未建立 | 80/20（附属成员得80%） | | 赎金范围 | 无实际交易 | $40,000–$100,000 | | 实际赎金收入 | 零 | 零（截至泄露时） |

二、三天内的“公开处刑”

4月13日，0APT突然撕下伪装，将矛头对准同行。它清空了博客上此前所有虚假受害者名单，转而发布了对KryBit、Everest和RansomHouse三个勒索组织的“攻击战果”。这一策略的意图清晰可辨：既然对外部企业的攻击缺乏说服力，那就通过羞辱同行来证明自身实力。

4月14日， 0APT进一步泄露了Everest的SQL数据库。该数据库包含2025年1月1日至9月18日期间的发布和用户数据。值得注意的是，Everest的数据经过编码和哈希处理，关键字段未以明文暴露。其中包含一名于2025年8月29日注册的管理员账户记录。RansomHouse虽在曝光列表中被提及，但没有任何实质性数据流出。面对挑衅，Everest选择了沉默，未做出任何公开回应或报复行动。这种态度本身传递了一个信号：在犯罪市场中，真正的实力者不需要通过口水战证明自己。

KryBit的反击则来得又快又狠。同样在4月14日，在0APT发布Everest数据的当天，KryBit便成功夺取了0APT服务器的完全控制权，将0APT挂上自己的泄露网站作为“受害者”，并篡改了0APT的数据泄露网站，留下一句直白的警告：“下次别跟大孩子们一起玩”（Next time, don’t play with the big boys）。

4月15日，KryBit放出致命一击：将0APT的全套运营数据公之于众——完整的访问日志、PHP源代码和系统文件，无一遗漏。这些日志成为0APT欺诈行为的铁证：全部190余个最初声称的受害者均为虚构，从未有任何数据被实际窃取或泄露。 更令人始料未及的是，技术分析显示，0APT的数据泄露网站竟然运行在一部安卓手机的AnLinux-Parrot OS模拟环境中，内容直接从手机内部SD卡推送——这一草台班子的基础设施配置，与0APT此前营造的“专业威胁组织”形象形成了荒诞反差。

表2：事件时间线（2026年4月）

| 日期 | 行动方 | 事件 | | — | — | — | | 4月13日 | 0APT | 泄露KryBit管理员面板数据（含2名管理员、5名附属成员、20名受害者谈判数据） | | 4月14日上午 | 0APT | 泄露Everest SQL数据库（2025年1-9月数据，含哈希处理记录） | | 4月14日 | KryBit | 夺取0APT服务器控制权，篡改其泄露网站 | | 4月15日 | KryBit | 公开0APT全套运营数据（访问日志、源码、系统文件） |

三、泄露数据的深度解析

KryBit遭泄露的管理后台数据覆盖了3月28日至4月12日的完整活动周期，揭示了该组织真实的运营规模：2名管理员（用户名KRYBIT和GREP）、5名附属成员（用户名fsociety、M*A*R*S、D9D938D9AC9、464D03CA2AF05、753766EFA0462B）、20个潜在受害者，赎金要求集中在4万至10万美元区间。运营者维护了5个比特币钱包，但这些钱包在组织内被重复使用于不同附属成员和受害者之间，且均没有任何交易记录——这意味着截至数据泄露时，KryBit尚未获得任何赎金支付。报告中提供了5个BTC钱包的具体地址和各自使用次数（6次、3次、3次、5次、1次），以及所有操作者和附属成员的Tox即时通讯ID，这些指标对安全团队的威胁情报库具有直接价值。

0APT被曝光的访问日志则为Halcyon此前的判断提供了最终确认：该组织从未实施过任何真实的数据窃取行为，其整个运营建立在虚假宣传之上。

Halcyon情报分析师Erika Totaro在Dark Reading采访中一语中的：“当你在犯罪市场中的信誉依赖于被证实的受害者和赎金支付记录，而你两手空空时，就必须另辟蹊径制造声响。这些团伙完全受经济利益驱动，他们会毫不犹豫地互相曝光、敲诈或削弱对方。揭露竞争对手的管理面板、附属成员数据和受害者谈判记录，是在没有任何真实成果的情况下购买信誉的手段。”

对于Everest和RansomHouse这两个老牌组织，Totaro的评估同样值得关注。Everest自2020年12月开始活跃，受害者累计超过200个，采用数据窃取与加密相结合的双重勒索模式。RansomHouse自2021年运营，长期瞄准教育、制造和医疗行业。双方在此次事件中均未受实质性影响，仍应被视为行业主要威胁。Totaro进一步指出，Everest的沉默本身就是一种姿态：”在犯罪市场中，真正的实力者不需要通过口水战来证明自己。”

四、防御者的意外收获：从内斗中提取情报价值

Totaro指出，黑帮内讧对防御者而言是净收益：“当运营者重组或附属成员迁移到新服务时，他们的战术、技术和程序会一同转移。工具会变，但行为模式基本不变。这种重叠正是防御者可以设置告警的依据。尽管这些组织之间的争斗看似混乱，但在这些时刻暴露出的情报价值却是真实且可操作的。”

这场内斗暴露的所有指标——比特币钱包地址、管理员和附属成员的用户名及Tox ID、数据泄露网站的.onion地址——已在Halcyon报告中完整收录。安全团队可将这些指标纳入威胁情报库，即便两个组织在未来改头换面，其行为指纹仍具有追踪价值。

Halcyon因此提出三项核心防御行动的切实建议：

一是部署对异常出站数据传输、大型归档文件创建及常见数据窃取工具的监控，建立数据外传基线阈值并对偏离情况发出告警；

二是确保备份系统与生产网络隔离，定期测试恢复完整性，抵御加密和删除攻击；

三是部署专用反勒索软件解决方案，在恶意程序执行前进行阻断，检测运行时行为与数据窃取企图，同时防止篡改和网络入侵。

五、余波与前景：重建还是消亡？

经过此番互相“开盒”，0APT和KryBit均面临运营基础设施全面重建的局面。Halcyon在结论中评估：0APT因其技术能力有限（表现为安卓手机运行的基础设施）、信誉经证实已完全破产，对企业的实际威胁已降至极低水平；KryBit虽同样遭受重创，但其功能性技术栈和已验证的攻击能力使其保留重新成长的空间——报告预判两个组织的运营者可能在未来数周至数月内完成重建、更名和基础设施更换。

对于企业而言，最关键的启示或许在于：0APT的虚假受害者名单提醒我们，并非所有数据泄露声明都值得恐慌性响应——Halcyon明确建议企业不应投入资源调查0APT的声明。但KryBit和Everest的威胁真实存在，不容忽视。在一个连犯罪者都互相攻击的地下世界，防御者必须学会从每一次情报碎片中提炼价值。

【闲话简评】

勒索组织间“互撕”看似黑产内斗，实则暴露了一个残酷现实：无论谁胜谁负，被勒索的企业才是最终的受害者。0APT的虚假受害者名单提醒我们，盲目信任泄露声明可能导致资源错配和决策失误；而KryBit已验证的10至250GB单目标数据窃取量表明，真正活跃的勒索攻击仍在持续造成实质性伤害。国内企业和机构应以本次事件为鉴，将防御重心从被动响应转向主动防泄露能力建设：部署全链路异常流量和异常数据外传检测，实现备份系统与生产网络的严格物理或逻辑隔离，并建立基于行为指纹的威胁狩猎机制。值得注意的是，Halcyon报告中收录的Tox ID、BTC钱包地址、.onion站点等具体指标，恰恰是构建威胁情报知识库的宝贵原料——当攻击者互相拆台将底牌暴露于光天化日之下，恰恰是防御者充实情报体系、将规则做在攻击来临之前的绝佳时机。与其看黑产互相撕咬的热闹，不如抓紧把对手已暴露的”指纹”录进自己的检测系统。

这是什么套路？0APT勒索组织批量发布受害者

参考资源

1、https://www.halcyon.ai/ransomware-research-reports/0apt-vs-krybit-ransomware-actors-list-opposing-operators-as-victims

2、https://www.darkreading.com/threat-intelligence/feuding-ransomware-groups-leak-data

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《“黑吃黑”大戏——从0APT与KryBit内斗看黑产江湖的生存法则》