First VPN 卖给黑客的承诺很直白:匿名、无日志、无法把用户活动和身份关联起来。
现在结果也很直白:服务被关停,管理员被捕,用户数据库被执法方获取,VPN 连接被识别。Europol 还说,已经通知相关用户,他们的身份被识别了。
这件事不能粗暴理解成“所有 VPN 都不可信”。更准确的说法是:一个面向犯罪黑客营销的隐匿基础设施,没能保护它最想保护的人。
被端掉的不是普通 VPN,而是黑产供应链节点
按 FBI 和 Europol 的说法,First VPN 的用户不只是普通隐私需求者。
FBI 称,至少 25 个勒索软件团伙使用过 First VPN。它还被用于互联网扫描、僵尸网络、DDoS、诈骗等活动。
这已经越过了普通 VPN 的边界。
| 问题 | 关键信息 |
|---|---|
| 谁被关停 | First VPN |
| 谁在用 | FBI 称至少 25 个勒索软件团伙使用过 |
| 还被用于什么 | 扫描、僵尸网络、DDoS、诈骗等 |
| 服务器分布 | 在 27 个国家运营服务器 |
| 执法拿到什么 | 用户数据库,并识别 VPN 连接 |
| 结果 | 管理员被捕,数十台服务器被拆除,基础设施被扰乱 |
Europol 的表述更重:First VPN 深度嵌入近年多起重大网络犯罪调查。
它在俄语黑客市场等犯罪论坛宣传自己,卖点包括“匿名”“无日志”“无法关联用户活动”。还提供匿名支付、隐藏基础设施等配套服务。
这就不是普通消费者拿来保护公共 Wi-Fi 流量的工具了。它更像勒索软件生态里的“隐身外包商”。
要注意边界。现有材料没有证明 First VPN 保存了完整活动日志,也不能说所有用户都是犯罪分子。执法方说的是:数千名与网络犯罪生态相关的用户被暴露。
这个表述已经足够重。
重要的不是工具倒下,而是匿名承诺失去定价能力
勒索软件不是几个人敲键盘就能跑完的生意。
它有分工。入侵、横向移动、数据窃取、勒索谈判、洗钱、流量隐藏,每一环都有人提供服务。
First VPN 处在流量隐藏这一环。它卖的不是带宽,而是心理保险。
黑产用户买它,是为了相信自己藏在雾里。可执法方这次做的,正是从雾的边缘下手:用户数据库、VPN 连接、服务器基础设施、支付与访问痕迹。材料没有说明所有细节,但路径很清楚。
这也是近几年打击网络犯罪的一个变化。
执法部门不只抓某个团伙,也开始拆公共设施。端掉 VPN、托管、加密通信、支付通道,收益更大。抓一个团伙,是砍一根藤;拆一类基础设施,是拔一片根。
这对两类人最直接。
安全团队要调整判断。不能只盯勒索团伙名称,还要看其依赖的基础设施有没有被执法扰动。一旦通道被端,旧样本、旧 IP、旧账户可能重新变成线索。
企业采购和合规团队也该更谨慎。评估 VPN 或匿名访问服务时,不能只看“无日志”四个字。要看它面向谁营销、在哪些论坛推广、是否有透明治理、是否有明确合规边界。
真正的问题不是 VPN 能不能用。问题是,一个服务如果主要靠犯罪社区获客,它的“隐私承诺”很难只是一句技术承诺。
那也是商业选择。
接下来该看两件事:链条会不会断,用户会不会被顺藤摸瓜
调查始于 2021 年 12 月。到这次关停,已经过去相当长时间。
这说明执法方不是只做一次关停动作,更像是在长期拼图。Europol 称 First VPN 深度嵌入重大网络犯罪调查,也是在暗示这一点:它可能是多个案件的公共交叉点。
接下来最该看两件事。
一是,被识别的数千名相关用户会不会带来后续起诉、制裁或更多基础设施关停。现在只能看到“身份被识别”,还不能直接推导出每个人都会被起诉。
二是,黑产会不会迁移到更分散、更短命的隐匿服务。服务越短命,运维成本越高;越分散,信任成本越高。黑产也要算账。
这里有个老问题:技术扩张早期,犯罪总能先吃到基础设施红利。铁路、电报、银行网络、互联网都经历过这一轮。治理追上来之后,原来最赚钱的灰色通道,往往变成最危险的证据链。
“天下熙熙,皆为利来。”放到黑产市场也一样。有人卖漏洞,有人卖流量,有人卖匿名。利润够厚,就会有人把犯罪包装成服务业。
但服务业有一个冷酷规则:平台出事,客户也不会天然安全。
First VPN 的死穴不在 VPN 三个字,而在它把“不可追踪”卖给最需要不可追踪的人。卖得越精准,画像也越精准。
普通用户不必因此恐慌。合规 VPN、企业远程访问、隐私保护工具仍有正常价值。
该警惕的是另一类东西:在犯罪论坛高调叫卖匿名,在营销里反复强调“不可关联”,还把隐藏基础设施当套餐卖。这类服务承诺得越满,出事时反噬越狠。
黑产买的是安全感。平台卖的是幻觉。最后账单常常不是平台一个人结,而是顺着数据库、连接记录和服务器痕迹,寄给每个买过幻觉的人。