Cet article a été mis à jour le 3 octobre 2025.
Les forums de cybercriminalité permettent aux acteurs malveillants de se coordonner, de divulguer des données sensibles et de mener des transactions illicites. Ces forums sont souvent accessibles sur le web classique, bien qu'une inscription soit généralement requise. Certains sont présents à la fois sur le web classique et le dark web, tandis qu'un plus petit nombre de communautés exclusives existent uniquement sur le dark web.
La structure typique d'un forum de cybercriminalité comprend une section dédiée au marché qui facilite la vente d'identifiants volés, de bases de données, d'exploits CVE, de failles 0-day/1-day, de logiciels malveillants en tant que service, de courtiers en accès initial, de techniques de carding, de kits d'hameçonnage, de spam, d'hébergement à l'épreuve des balles, de blanchiment de cryptomonnaies, et plus encore.
Les forums de cybercriminalité en langue russe demeurent un espace pour les activités illicites, notamment la cybercriminalité à but lucratif et la cyberguerre commanditée par des États. Par exemple, en date de Mai 2025Au moins 44 services de blanchiment d'argent spécialisés dans les cryptomonnaies sont actifs sur les principaux forums russophones, proposant des échanges de cryptomonnaies, du mixage et des livraisons d'espèces.
La surveillance des forums de cybercriminalité pour vérifier si des acteurs malveillants mentionnent le nom d'une organisation peut fournir des informations sur une attaque imminente ou révéler des identifiants à vendre incluant le domaine de l'organisation.
Nous avons répertorié les principaux forums de cybercriminalité russophones à surveiller.
Principaux forums de cybercriminalité en langue russe
Face à la création constante de nouveaux forums de cybercriminalité, la surveillance de l'intégralité du dark web peut s'avérer complexe et chronophage. Afin de cibler leurs efforts de surveillance, les équipes de sécurité peuvent commencer par les forums de cybercriminalité russophones suivants.
Exploiter
Exploit, anciennement connu sous le nom de Hack-All, est l'un des forums de cybercriminalité russophones les plus anciens et les plus actifs. Fondé en 2005 par le groupe de cybercriminels « toha », son transfert à un « membre de confiance de la communauté » en 2018 a surpris et suscité de nombreuses suspicions au sein de cette dernière, la reddition du forum par l'administrateur étant inattendue.
Exploiter se concentre principalement sur :
- Vente de données issues de violations et de fuites
- Vente d'accès initiaux (aux infrastructures informatiques des entreprises)
- Les logiciels malveillants en tant que service
- Kits de phishing
- Spam
- Identifiants de comptes volés
Malgré les inquiétudes de certains utilisateurs concernant l'infiltration des forces de l'ordre, Exploit reste un forum actif pour les acteurs malveillants.
Événements sur Exploit.in d'octobre 2024 à septembre 2025 (Source : Flare)
XSS
L'histoire de XSS commence en 2004, lorsque le forum était un projet personnel de son premier propriétaire, « whost ». Alors nommé DaMaGeLaB, le forum est ensuite passé entre les mains du cybercriminel biélorusse « Ar3s », également créateur du botnet Andromeda. En 2017, Sergey Yarets, alias « Ar3s », est arrêté par la police biélorusse, ce qui entraîne la fermeture de DaMaGeLaB. La base de données du forum est alors acquise par « toha », un ancien administrateur d'Exploit, en 2018. « toha » utilise ensuite cette base de données pour lancer XSS, un nouveau forum qui prend la relève de DaMaGeLaB.
Les forums sont rapidement devenus une plaque tournante pour les cybercriminels russophones et ont attiré des participants du monde entier. Cette forte activité a conduit à une opération policière conjointe en juillet 2025, impliquant les autorités françaises, ukrainiennes et d'Europol. L'opération a permis l'arrestation d'un individu connu en ligne sous les pseudonymes d'« admin » et « toha ». En août 2025, des informations ont révélé la véritable identité de l'« admin ». Les autorités n'ont pas encore confirmé officiellement l'identité du cybercriminel, qui aurait amassé au moins 7 millions de dollars grâce à des transactions liées à des rançongiciels sur le forum.
Aujourd'hui encore, le forum poursuit ses activités sous un nouvel administrateur inconnu. Les attaques XSS se concentrent principalement sur les points suivants :
- Ventes de titres d'identité
- Spam
- L'hameçonnage
- Malware
- Vente d'accès initial
- Exploiter le trading
- Fuites de données
Le forum était lié à des groupes de Rançongiciels notoires, dont REvil, LockBit et Conti. L'arrestation de l'administrateur a provoqué un tollé et des soupçons, entraînant une baisse du trafic et du nombre d'utilisateurs. Les récentes exclusions d'utilisateurs et les litiges concernant le blocage de fonds en cryptomonnaie alimentent les craintes que les attaques XSS ne soient devenues un piège pour les forces de l'ordre.
Événements XSS par mois, octobre 2024 - septembre 2025 (Source : Flare)
DamageLib
DamageLib a vu le jour sur les cendres de XSS, lancé en août 2025. Géré par d'anciens modérateurs de XSS qui se méfient du nouvel administrateur, le forum affirme ne pas suivre ses utilisateurs et se présente comme un espace sécurisé et respectueux de la vie privée, accessible uniquement via le réseau Tor. Cette nouvelle communauté ne propose ni place de marché dédiée ni système de garantie de paiement, ce qui pourrait freiner son développement futur.
DamageLib propose :
- Tutoriels de piratage
- Tutoriels sur le développement de logiciels malveillants
- Discussions relatives aux exploits et aux vulnérabilités
- Vente indirecte de MaaS, de bases de données, etc.
Malgré le transfert du contenu et de la base d'utilisateurs du forum XSS, l'activité du forum reste plus faible car il continue de souffrir de problèmes de confiance liés à la disparition de XSS.
Il est actuellement plus difficile d'évaluer l'orientation de DamageLib, car les administrateurs ont décidé de ne créer aucune section commerciale et il n'y a pas de place de marché. C'est également pourquoi l'engagement reste relativement faible malgré un nombre de comptes enregistrés de 33 962.
Événements sur DamageLib d'août à septembre 2025 (Source : Flare)
Duty Free
Fin mars 2025, l'armée informatique russe a commencé à utiliser les forums de Duty Free et sa chaîne Telegram DutyMédias et actualités pour diffuser ses opérations. Cette dernière semble reproduire le contenu des forums. À l'heure actuelle, aucun rapport ni ensemble de données publics et crédibles ne permet d'identifier les administrateurs, les fondateurs, les propriétaires ou l'activité du forum.
Le Duty Free se concentre principalement sur :
- Recrutement d'acteurs malveillants pour cibler les infrastructures et les télécommunications ukrainiennes
- Conduite Déni de service distribué (DDoS) attaques
- Publication de données divulguées
- Autorisation ouverte des discussions relatives aux Rançongicielss et de la publicité pour les services de Rançongiciels (RaaS).
Actuellement, Duty Free semble combler le vide laissé par l'arrestation de l'administrateur de XSS dans le domaine de la cybercriminalité. Le forum reprend la structure de XSS et accepte ouvertement les groupes RaaS (ce qui est audacieux).
Événements en duty free d'octobre 2024 à septembre 2025 (Source : Flare)
Meilleur forum de piratage (BHF)
Actif depuis 2012, BHF est l'un des forums russophones les plus établis, axé principalement sur la vente d'identifiants, le spam et les fuites de données.
BHF se concentre principalement sur :
- piratage de logiciels
- Exploits
- Listes combinées
- bûches de voleurs
- Outils anti-spam
- Tutoriels
La présence de bots, d'intégrations Telegram et de services de séquestre souligne que BHF propose des opérations sophistiquées et des transactions de plus grande valeur.
Événements en BHF d'octobre 2024 à septembre 2025 (Source : Flare)
Marché anonyme russe (RAMP)
Lancée en 2012, RAMP était une plateforme de vente de drogues sur le dark web, active depuis longtemps et inspirée par Silk Road et gérée par le groupe de cybercriminels « Darkside ». En 2017, cette plateforme a attiré l'attention de la police russe, qui a mené une opération de démantèlement en juillet 2017.
Le forum RAMP a vu le jour en juillet 2021 sous le nom de RAMP 2.0 et a été lancé sur le même domaine que celui utilisé précédemment par le site de fuite de données du Rançongiciels Babuk, puis par celui de Payload.bin. Ce forum a été fondé en réaction à l'interdiction des discussions et de la publicité relatives aux Rançongicielss sur les autres grands forums russophones suite aux attaques de Colonial Pipeline.
Le premier propriétaire, lié à Babuk RaaS, était le cybercriminel « Wazawaka » (Mikhail Matveev), qui a ensuite cédé la propriété à « Kajit ». Ce dernier a finalement dû céder le forum au cybercriminel « Stallman », qui en est toujours l'administrateur. RAMP 2.0 fonctionne comme un forum réservé aux cybercriminels, offrant des services tels que la promotion de groupes RaaS et un accès initial aux environnements d'entreprise. Il attire une base d'utilisateurs diversifiée, comprenant des cybercriminels russophones, anglophones et sinophones.
RAMP 2.0 se concentre sur :
- Ransomware
- Services de courtier d'accès initial (IAB)
- Exploits
- Malware
- Partage de l'information
Événements du programme RAMP d'octobre 2024 à septembre 2025 (Source : Flare)
Lolzteam
Aux alentours de 2013, un utilisateur connu sous les pseudonymes de « Grisha Sutchkov » et « Zelenka » semble avoir fondé LolzteamÉgalement connu sous le nom de LolzTeam, ce forum était initialement axé sur les jeux vidéo, la triche et les objets virtuels. Au fil du temps, les activités qui s'y déroulaient ont pris une tournure criminelle, incluant le vol et la fraude. LolzTeam constitue un point d'entrée fréquent pour les jeunes qui s'aventurent, consciemment ou non, dans la cybercriminalité. Sa facilité d'accès en fait un point de départ de facto pour ceux qui se livrent à des escroqueries et des fraudes mineures afin de gagner de petites sommes d'argent.
La plateforme Lolzteam reste active et se concentre sur les identifiants de connexion aux jeux et aux réseaux sociaux. En 2025, elle figure parmi les plus importantes plateformes d'achat et de vente de ces comptes, offrant validation et garanties. On compte actuellement plusieurs centaines de milliers d'utilisateurs actifs quotidiens, âgés pour la plupart de 16 à 25 ans.
Lolzteam se concentre sur les points suivants :
- Ventes de comptes et d'identifiants, généralement pour les plateformes sociales et de jeux.
- Les « trafiquants » sont des acteurs malveillants qui diffusent du contenu malveillant en utilisant des comptes compromis.
- Malware voleur d'informations
- Tutoriels sur l'ingénierie sociale
- La tricherie dans les jeux vidéo, y compris les outils de triche, les objets en jeu et le butin
Enfin, le marché dédié du forum comprend les caractéristiques suivantes, qui témoignent d'un niveau de maturité élevé :
- Vendeurs vérifiés ou agréés
- Garanties pour les comptes
Systèmes de réputation - Escroc
Lolzteam a subi deux violations de données importantes :
- Décembre 2014 : Divulgation des données d’environ 25 000 utilisateurs, notamment leurs noms d’utilisateur, adresses électroniques et sexes.
- Mai 2018 : Exposition de 398 000 à 400 000 comptes dont les données, notamment les noms d’utilisateur et les adresses électroniques, ont ensuite été diffusées sur un autre forum de cybercriminalité.
Événements de Lolzteam d'octobre 2024 à septembre 2025 (Source : Flare)
Club WWH
WWH-Club est une communauté spécialisée dans le carding et la fraude financière, active depuis 2014. En 2024, deux de ses modérateurs, Alex Khodyrev et Pavel Kublitskii, ont été arrêtés aux États-Unis. Selon le département de la Justice, ils ont également participé à plusieurs autres marchés, forums et centres de formation du dark web.
Le club WWH se concentrait principalement sur les points suivants :
- Données personnelles volées, notamment les numéros de sécurité sociale et les données de rapports de crédit
- Des fuites de cartes de paiement
- Identifiants de connexion
- Tutoriels et formations pour commettre des fraudes
- Outils pour le cardage
Enfin, le marché présentait les caractéristiques suivantes, qui indiquaient un niveau de maturité élevé :
- Frais d'adhésion
- Frais de formation ou de scolarité
- Marchés en ligne des vendeurs
Ce forum sur la cybercriminalité offre des opportunités de formation, permettant ainsi d'intégrer de nouveaux acteurs malveillants.
Événements du WWH Club d'octobre 2024 à septembre 2025 (Source : Flare)
Automatisez la surveillance de la cybercriminalité avec Flare
L'espace La gestion des expositions aux cybermenaces de Flare Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Découvrez les menaces externes auxquelles votre organisation est exposée en vous inscrivant à notre programme. essai gratuit.
