无x-originating-ip字段
在我们今年接触了几百起勒索案例后总结：目前勒索家族逐渐呈现出APT趋势，不仅加密文件，还会长期潜伏及窃取数据。具备三大特性：高持续性、高隐秘性、高威胁性
5.2 谈判崩盘：黑客两头吃的贪婪行为

时间点：2025年9月20日 - 9月25日 中介公司（G公司）介入后，声称已经支付了赎金，要求黑客解密。黑客的回复揭开了其两头吃贪婪的想法。

图3 中介声称“钱已付，未收到解密器”，黑客表示“已发送解密器”，双方陷入僵持
5.3 中介的业余操作与客户的恐慌

时间点：2025年9月22日 09:12 受害者因急于恢复业务，告知黑客“已委托第三方公司联系”。这种表述直接暴露了客户“病急乱投医”的心理，让黑客意识到这是一只待宰的肥羊。
直到9月25日，黑客发出了最后通牒，戳穿了中介的老底：“我发现了你和代理公司的合同。那个代理公司之前坑过我们，害我们损失了好几个客户。”

图4 黑客因中介的历史欺诈行为（收了客户钱但不给黑客，或少给黑客）及黑客两头吃想法而拒绝交付密钥
行为动机剖析： 黑客之所以表现出不讲信用，本质上是在黑吃黑。通过索要合同，黑客摸清了客户的预算底线；通过拒绝中介，黑客试图绕过中介直接对客户进行二次勒索。 这再次印证了我们的观点：向黑客支付赎金是极高风险的行为，尤其是面对这种毫无信誉的散户时，往往是肉包子打狗。
5.4 资金链路追踪：触目惊心的地下金流

既然中介声称“已付款”，钱到底去哪了？Solar团队利用 MistTrack（慢雾） dashboard.misttrack.io等链上追踪平台，对涉案的比特币地址进行了深度穿透分析，结果令人咋舌。
5.4.1 锁定交易链路

根据受害者描述，当时付款给中介公司(30万元人民币)，而后我们通过链上追踪中介公司的转账记录，他们在9月20日向黑客地址转账了约 0.1315BTC(10万元人民币含手续费、资金波动等)。我们锁定了两个关键地址：中介控制的钱包地址： bc1qy28sl3sndu7vww4vhamh04ce28mxc2upwujag7黑客接收地址： 3JP5D4XyzQcZB43QdegCzKGvoawGM6za4B

图5 MistTrack平台显示的资金流向图，确证了资金从中间人流向黑客地址
截止目前黑客钱包内的BTC仍然没有转出记录，推测等待风声过后转出，我们也在持续进行链上监控。
5.4.2 惊人的交易规模

通过对中介钱包地址的逆向溯源，我们发现这并非个例。该地址在短短一年内（截至2025年12月），资金流水异常频繁且巨大。交易笔数： 超过 700 笔资金规模： 累计转出 84.4759 BTC(约56096559元人民币)

图6 中介钱包对外转账链路追踪(部分数据)
图7 中介钱包地址的年度交易概览

图8 按当前汇率计算，该地址经手的赎金总额高达 5600万+ 人民币
数据背后的真相： 仅仅这一个中介的一个钱包地址，一年内就涉及了700多个受害客户，经手了数千万的赎金。按照客户描述付30万元给中介公司，中介公司付赎金10万元来计算(赎金*3)中介公司经手金额达上亿元，这足以证明国内勒索软件攻击的泛滥程度，以及地下“代付/恢复”产业的畸形繁荣。大量企业在遭受攻击后选择忍气吞声交钱，助长了黑产的嚣张气焰。
而后中介公司在购买密钥无望后(中介公司倒亏10万元)选择直接跑路，留下一地鸡毛，客户难过又气愤，于是将整个过程还原以警示大众，下文来自客户的梳理
我们是一家国内的企业，最近企业服务器感染了勒索病毒，数据都被加密了，然后找到了一家公司名叫“XX文化有限公司”的企业，然后他们宣传自己包解密，我们又去看了一下他们的官网很正规，24小时服务等，然后我们就信任了他们的技术，让他们帮我们恢复数据，并支付了30万元的费用。我们最后发现他们是支付比特币赎金给黑客团伙购买解密工具帮我们解密，他们根本没有这样的技术去恢复数据，他们只是在中间赚取大额的赎金差价，他们这样的业务行为是纵容犯罪份子更容易得到金钱，也成为了黑客团伙犯罪份子的收取企业钱财的助手，而且国家明令禁止比特币交易，国家现在严令禁止炒作虚拟币，为什么会有比特币业务？如果他们没有支付比特币，他们是支付什么给黑客？他们是不是跟黑客团伙有利益来往输送，黑客团伙负责加密，他们负责收企业的客户钱，他们还打着网络安全溯源的旗号帮客户溯源，实质上就是帮助黑客勒索敲诈企业。
5.4.3 铁证如山：单一地址流出 90 BTC

根据受害者提供的线索，我们对中介控制的这个关键钱包地址进行了全量资金穿透。审计报告显示，该地址绝非临时账号，而是一个长期活跃的资金中转枢纽。资金规模（Total Sent）： 截止 2026 年 1 月，该地址累计流出资金高达 90.6319 BTC。价值折算： 按交易发生时的加权汇率估算，该中介仅通过这一个钱包支付给上游黑客的资金成本就高达 800 万美元（约合人民币 5,800 万元）。交易频次： 链上记录显示，该地址在过去一年内从早到晚保持着高频交互，每一笔流出的比特币背后，可能都对应着一家陷入绝望的企业。
5.4.4 暴利模型推演：从 5800 万到 1.7 个亿

如果我们套用本案中复盘的 “300% 暴利模型”（即：中介向客户收 30 万，实付黑客 10 万，溢价率 300%），这组链上数据背后的真相让人不寒而栗：项目数据来源/计算逻辑金额 (估算)中介支付成本链上实证 (流出 90.63 BTC)￥ 58,000,000中介收取金额基于本案 3倍 溢价倒推￥ 174,000,000净利润 (黑产)收取金额 - 支付成本￥ 116,000,000
Solar 深度点评：
规模推演： 仅仅这一个中介公司的一个钱包地址，在短短一年多的时间里，就经手了疑似近 1.7 亿元人民币的涉案资金。按照平均每家企业支付 10-30 万赎金计算，该地址背后涉及的国内受害企业可能多达 500-1000 家。
吸血鬼式的繁荣： 中介公司在没有任何核心解密技术的情况下，利用受害者的恐慌和信息不对称，仅靠“倒卖”黑客的解密器，就从中国企业身上吸走了 1.16 亿元 的净利润。这种“两头吃”的贪婪，正是导致本案中黑客撕票、谈判崩盘的根本原因。
资敌实锤： 最令人担忧的是，这 5,800 万元 的比特币最终通过中介之手，源源不断地流入了境外黑客团伙的口袋。这些资金成为了黑客组织招募开发者、购买 0day 漏洞、升级勒索病毒的“军费”，进而对国内企业发动更猛烈的攻击。
5.5 样本定性：李逵还是李鬼

在确认谈判无望、资金被骗后，我们回归技术本源。线下溯源处置及对被勒索机器提取到的样本svchost.exe进行了逆向分析。
通过对恶意代码的静态与动态分析，我们确认该样本实际上是利用LockBit 3.0泄露构建器生成的盗版变种。攻击者将其伪装成LockBit 5.0以制造恐慌，但其技术细节暴露了其真实身份