Black Market Earthquake : L’arrestation de Toha et la fragmentation de XSS

En Bref

• En juillet 2025, la police ukrainienne a arrêté Toha, présumé administrateur du forum russophone XSS[.]is, après une enquête de plusieurs années menée par Europol.
• XSS, anciennement DaMaGeLaB, était depuis 2013 un important centre d’échange de malwares, de données volées et d’accès illégaux.
• La saisie du forum a déclenché des migrations massives d’utilisateurs, de violentes querelles internes et la création de la plateforme rivale DamageLib.
• La confiance dans les anciens et nouveaux forums du marché noir s’est effondrée, sur fond de chaos financier et de soupçons d’infiltration policière.
• Près des deux tiers des utilisateurs de XSS se sont inscrits sur DamageLib en un mois, mais l’activité réelle reste faible.

Ondes de choc dans l’underground : la chute de XSS

Lorsque le cerveau présumé de XSS[.]is - connu sous le nom de Toha - a été arrêté par les autorités ukrainiennes le 22 juillet 2025, il ne s’agissait pas d’un simple coup de filet contre la cybercriminalité. Selon Red Hot Cyber, l’opération, orchestrée avec la police française et Europol, a frappé en plein cœur du cyber-underground russophone. XSS était depuis longtemps une forteresse du commerce illicite, proposant tout, des outils de hacking aux bases de données volées, avec un code strict interdisant de cibler les États post-soviétiques. Sa réputation s’était forgée sur plus d’une décennie, évoluant depuis DaMaGeLaB et guidée par des vétérans comme Toha, lui-même lié à des légendes telles que Hack-All et Exploit[.]in.

Le choc fut sismique. Le site public a disparu, les anciens fils de discussion ont été effacés dans la panique, et la confiance - toujours le nerf de la guerre des marchés noirs - a disparu du jour au lendemain. Les rumeurs ont fusé : l’infrastructure était-elle compromise ? Les forces de l’ordre avaient-elles pris le contrôle ? Même lorsqu’un nouvel administrateur a annoncé une migration technique et assuré que le backend était intact, les utilisateurs sont restés méfiants. Les anciens modérateurs se sont tus ou ont fait défection, lançant DamageLib et invitant la communauté de XSS à repartir de zéro, affirmant que l’ancien forum était « contrôlé par la police ».

Exode, querelles internes et effondrement de la confiance

En quelques semaines, près de 33 500 comptes - soit presque les deux tiers de la base d’utilisateurs de XSS - se sont inscrits sur DamageLib. Pourtant, comme le rapporte Red Hot Cyber, l’activité y est restée étrangement faible : à peine une fraction des discussions observées sur XSS avant l’arrestation. Parallèlement, Exploit, un autre grand forum, a vu son trafic bondir de 24 % alors que les utilisateurs cherchaient un refuge plus sûr. Le nouveau XSS, désormais sous le nom « XSS[.]pro », a été boudé, miné par les querelles et les accusations d’infiltration.

Le chaos s’est aggravé lorsque les déposants ont réclamé le remboursement de leurs fonds. Avec plus de 50 bitcoins (environ 6 millions de dollars) bloqués, le nouvel administrateur a proposé des remboursements partiels - un signe évident d’instabilité. Les tentatives de rétablir l’ordre, comme la nomination du fameux « Stallman » comme modérateur, n’ont fait que raviver les vieilles rivalités, notamment autour des bannissements de groupes de ransomware de premier plan comme LockBit.

Sur DamageLib, les modérateurs ont introduit des « comptes fantômes » - des réservations de pseudonymes connus en attente de vérification - pour éviter l’usurpation d’identité et regagner la confiance. Mais le simple besoin d’un tel système soulignait la paranoïa et la fragmentation qui régnaient sur la scène.

Mutations techniques et crise d’identité

Le paysage technique a lui aussi évolué. Les nouveaux opérateurs de XSS ont vanté des protections anti-DDoS de darkcode.technology et proposé des abonnements payants pour filtrer le spam, mais ces efforts ont échoué. Les forums se sont retrouvés envahis par des offres de faible qualité, voire frauduleuses. Pendant ce temps, DamageLib débattait de l’opportunité d’autoriser les discussions sur le ransomware - un sujet désormais à haut risque.

Mais le vrai dommage était psychologique. Alors que les anciennes figures d’autorité disparaissaient ou étaient bannies, les utilisateurs déploraient la perte de visages familiers et du sentiment d’une communauté partagée, même illicite. Sans plateforme capable de garantir transparence, règles stables ou même restitution sûre des dépôts, le marché souterrain est entré dans une période de profonde incertitude.

Conclusion : un avenir fracturé

L’arrestation de Toha et l’effondrement de XSS ont plongé le marché noir dans le désarroi - un royaume sans roi, où la confiance est rare et les nouvelles alliances fragiles. Tandis que les utilisateurs se dispersent entre DamageLib, Exploit et des forums moins connus, le véritable vainqueur reste incertain. Une chose est sûre : la plus précieuse des monnaies de l’underground - la confiance - n’a jamais été aussi incertaine.

WIKICROOK

• Forum Darknet : Un forum darknet est une plateforme en ligne cachée, accessible via des réseaux comme Tor, couramment utilisée pour le commerce illégal et la collaboration cybercriminelle.
• DDoS (Déni de Service Distribué) : Une attaque DDoS submerge un site ou un service avec un trafic excessif, perturbant son fonctionnement normal et le rendant indisponible pour les vrais utilisateurs.
• Ransomware : Le ransomware est un logiciel malveillant qui chiffre ou verrouille des données, exigeant une rançon des victimes pour rétablir l’accès à leurs fichiers ou systèmes.
• Mécanisme de réputation : Un mécanisme de réputation évalue les utilisateurs selon leur comportement ou leurs transactions passées, aidant à instaurer la confiance et la sécurité sur des plateformes où les utilisateurs sont souvent anonymes.
• Compte fantôme : Un compte fantôme est un profil utilisateur réservé qui protège le pseudonyme et la réputation d’une personne connue jusqu’à ce qu’elle le vérifie et le récupère.