网络安全公司成黑产投资热点

当人们提到黑客和网络犯罪组织，脑海中往往浮现出豪车、名表和靠海大别墅的浮夸场景。然而，SophosX-Ops的一项最新调查揭示，网络犯罪收益流入的并不总是奢侈消费，而是悄然渗透进各行各业——包括对抗网络犯罪的网络安全公司。

Sophos研究团队在追踪分析两大俄语和三大英语网络犯罪论坛中数千条帖子后发现，犯罪分子极具“理财头脑”，他们将非法所得投入到看似平凡的生意中：比萨外卖店、建筑材料供应、纹身店、咖啡馆、房地产项目、教育培训，甚至是网络安全公司。

网络犯罪分子为何热衷于此？Sophos首席信息安全官John Shier解释称，这些非法获利多以加密货币形式存在，而加密货币在现实世界中“并不好花”，犯罪分子迫切需要将其兑换成可在日常生活中使用的法币或资产。通过投资合法或“灰色”企业，他们能够轻松洗白资金。

更令人瞠目的是，论坛中有人公然分享网络安全公司的创业和盈利/洗钱经验。例如，有人提议研发漏洞利用工具并向企业出售补丁服务，甚至直接在当地网络中“发现”漏洞后再兜售防护方案。有帖子详细描述了如何开设专注于漏洞挖掘的安全初创公司，或利用云计算服务开展哈希破解业务。

“最讽刺的是，这些有犯罪动机的人竟然投资于对抗网络犯罪的公司。”Shier在接受 CyberScoop采访时表示，“他们可能成为安全公司的股东，从而影响公司的运营方向，甚至在幕后操纵‘防御’力量。”

Sophos研究人员指出，如果拥有黑产背景的个人渗透到安全行业，就存在“守护者本身是劫匪”的风险。这种潜在的“内部人威胁”，或让原本旨在保护组织免受攻击的安全服务，沦为黑产牟利的工具。

Sophos发现，除了投资安全公司，黑产论坛上还充斥着关于如何通过贵金属、钻石、空壳公司、博彩、色情等“灰色”或非法业务洗钱的教程。更有人自曝购置地产专门埋藏巨额现金，并分享了如何将现金干燥、真空封装、放入PVC桶并埋到地面五英尺深的详细指南——附带GPS坐标记录，方便未来或子孙后代“取回”。

除此之外，研究还揭示犯罪分子会重新投资到更多黑产项目，如木马、信息窃取工具、钓鱼网站、SIM卡调包、DDoS攻击服务等，形成“犯罪循环”。

当前大部分威胁情报聚焦于检测新型攻击和事后响应，但对非法资金流向的关注却远远不足。Shier强调，只有追踪资金如何“退出”犯罪链条，才能真正洞悉犯罪分子的运作模式，并协助执法机关精准打击。

“如果我们能让每条洗钱通道暴露在阳光下，犯罪分子就很难再躲藏。”Shier 说。

然而，Sophos报告指出，犯罪分子投资合法或灰色领域的行为不仅助长犯罪链条，还可能波及无辜企业及消费者，使其不知不觉卷入洗钱或犯罪收益的流通中。

英国《金融时报》和德国《明镜周刊》近期也关注到，欧洲金融监管机构正在加强对涉及高风险行业投资的审查，并与国际刑警组织合作，追踪可疑跨境资金流。多国执法部门呼吁，金融机构、科技公司和政府需跨国共享情报，打通信息壁垒。

网络安全公司本应是企业对抗黑客的堡垒，而一旦它们成为黑产资金的投资标的，则意味着犯罪分子或能利用其合法外衣反向掩护自身行为，甚至操纵市场，影响全球网络安全生态。

参考链接：

• https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-1

• https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-2