Die französischen Strafverfolgungsbehörden haben einen bedeutenden Schlag gegen die internationale Cybercrime-Szene geführt. Die Pariser Polizei-Cybereinheit verhaftete vier Schlüsselfiguren des berüchtigten Darknet-Forums BreachForums, das als eine der größten Handelsplattformen für gestohlene Daten galt. Die Festgenommenen operierten unter den Pseudonymen ShinyHunters, Hollow, Noct und Depressed.
Koordinierte Razzia deckt internationales Netzwerk auf
Die Operation erstreckte sich über mehrere französische Regionen, wobei simultane Durchsuchungen in Paris, der Normandie und auf der Insel Réunion durchgeführt wurden. Diese geografische Verteilung verdeutlicht die weitreichende Struktur der Cybercrime-Organisation und deren dezentrale Arbeitsweise.
Besonders bemerkenswert ist die Enthüllung, dass bereits im Februar 2025 ein weiterer prominenter Hacker verhaftet wurde: IntelBroker wurde von französischen Behörden festgenommen, wobei diese Festnahme bis zu den jüngsten Operationen geheim gehalten wurde. Diese Taktik der verzögerten Bekanntgabe ermöglichte es den Ermittlern, weitere Verdächtige zu identifizieren und das Netzwerk vollständiger zu zerschlagen.
Entwicklung und Metamorphose der Hacker-Plattform
BreachForums etablierte sich als Nachfolger des 2022 vom FBI geschlossenen RaidForums und entwickelte sich schnell zur zentralen Anlaufstelle für den Handel mit kompromittierten Daten. Die Plattform gewann durch spektakuläre Datenlecks an Bedeutung, darunter sensible Informationen des US-Kongress-Gesundheitsdienstleisters DC Health Link und Millionen von Twitter-Nutzerdaten.
Nach der Verhaftung des ursprünglichen Gründers Conor Brian Fitzpatrick im März 2023, der zu 20 Jahren Überwachung verurteilt wurde, entstand BreachForums v2 unter der Führung von ShinyHunters, Baphomet und IntelBroker. Das Forum stellte jedoch im April 2025 endgültig seinen Betrieb ein, nachdem es durch eine kritische Zero-Day-Schwachstelle im MyBB-Content-Management-System kompromittiert wurde.
Ausmaß der Cyberschäden in Frankreich
Die verhafteten Cyberkriminellen werden beschuldigt, mehrere hochkarätige französische Organisationen infiltriert zu haben. Zu den betroffenen Unternehmen gehören der Einzelhändler Boulanger, der Telekommunikationsanbieter SFR, die Arbeitsagentur France Travail und der französische Fußballverband. Der schwerwiegendste Vorfall betraf France Travail, bei dem persönliche Daten von etwa 43 Millionen Bürgern kompromittiert wurden.
ShinyHunters: Pseudonym oder Kollektiv?
ShinyHunters gilt als einer der aktivsten Akteure im Cybercrime-Umfeld und wird mit groß angelegten Angriffen auf Salesforce und Snowflake in Verbindung gebracht. Diese Attacken betrafen namhafte Unternehmen wie Santander, Ticketmaster, AT&T, Advance Auto Parts und Neiman Marcus. Cybersicherheitsexperten vermuten, dass hinter dem Namen ShinyHunters möglicherweise eine ganze Gruppe von Cyberkriminellen steht.
Identitätsenthüllung durch Blockchain-Forensik
Parallel zu den französischen Verhaftungen enthüllten US-Behörden die Identität von IntelBroker. Die Staatsanwaltschaft des Southern District of New York erhob Anklage gegen Kai West, einen 25-jährigen Briten, der auch unter dem Alias Kyle Northern bekannt ist.
Die Ermittlungen ergaben, dass Wests Aktivitäten mehr als 40 Organisationen schädigten und einen Gesamtschaden von etwa 25 Millionen US-Dollar verursachten. Seine Angriffsziele umfassten Regierungsbehörden, kritische Infrastrukturen und Unternehmen wie Europol, AMD, Nokia, HPE und General Electric.
Innovative Ermittlungsmethoden führen zum Erfolg
Das FBI gelang der Durchbruch durch eine ausgeklügelte Blockchain-Analyse. Im Januar 2023 erwarb ein verdeckter Ermittler einen gestohlenen API-Schlüssel für 250 US-Dollar in Bitcoin. Die Nachverfolgung der Kryptowährungsadresse führte zu einem Konto bei der Plattform Ramp, das auf Kai Wests Namen registriert war. Zusätzliche Beweise umfassten übereinstimmende IP-Adressen zwischen privaten und IntelBroker-Konten sowie universitäre E-Mail-Korrespondenz und Führerscheinfotos im Postfach des Verdächtigen.
Diese erfolgreiche internationale Operation gegen die BreachForums-Administratoren demonstriert die zunehmende Effektivität grenzüberschreitender Zusammenarbeit im Kampf gegen Cyberkriminalität. Während die Verhaftung dieser Schlüsselfiguren das Ökosystem des Datenhandels erheblich beeinträchtigen dürfte, zeigt die Vergangenheit, dass ähnliche Plattformen häufig unter neuen Namen wieder auftauchen. Unternehmen sollten diese Entwicklung als Anlass nehmen, ihre Cybersicherheitsmaßnahmen zu verstärken und regelmäßige Sicherheitsaudits durchzuführen.