从高级黑客到国家威胁：数字匪帮 ACG 的兴衰

原文标题：From High Life Hackers to National Menace: The Rise and Fall of Digital Bandits ‘ACG’

原文作者：JOSEPH COX

原文来源：404 MEDIA

编译：Lynn，MarsBit

布雷登·威廉姆斯 (Braiden Williams) 站在巴黎市中心一家高度高档的夜总会 L’Arc，周围有六名可以成为超级名模的女性。但威廉姆斯所做的只是盯着手机。 

L’Arc 在巴黎时装周期间举办派对，通常是杰米·福克斯 (Jamie Foxx) 和史努比狗狗 (Snoop Dogg) 等名人的首选场地。威廉姆斯应该觉得自己很适合——他当然有足够的钱买他和女人们旁边冰桶里的唐培里侬香槟。一名 L’Arc 员工一遍又一遍地喊着威廉姆斯团队的名字“ACG”，然后这名员工将酒杯放在牙齿之间，头向后仰，然后倒了更多的 Dom。有一次，随着电子音乐的重击，一群更 漂亮的女人拿着点燃的烟花在舞池里滑行。他们身后跟着一名男子，举着一块写着“ACG”和“Braiden”的大牌子。另一个标牌上写着“布雷登跑这狗屎”，旁边有两个拿着更多香槟的女人。

威廉姆斯是当晚的明星。但他看上去完全格格不入。威廉姆斯有着独特的碗形发型。他的脖子伸出来，就像一天中大部分时间都弯腰坐在电脑前的人一样。他看起来像个傻乎乎的少年，而不是一个经验丰富的俱乐部成员。

ACG 和 Braiden 并不是 L’Arc 的典型客户。ACG 是一群被指控的黑客，联邦调查局称他们对一波比特币盗窃和其他犯罪事件负有责任。威廉姆斯的团伙约有六名成员，是 21 世纪版的银行劫匪。这些机会主义者不是团伙从金库中盗取实物现金，而是共同合作，快速接管目标的电话号码，拦截他们的登录代码，然后在受害者有太多反应机会之前窃取他们拥有的任何加密货币。据称，威廉姆斯在这些多阶段抢劫中的作用是将目标的电话号码转移到他自己的设备上。而ACG一次又一次地成功了：这次的凯旋门和欧洲之行，以及威廉姆斯的多辆高端跑车，都是靠这些盗窃案资助的。 

威廉姆斯当时并不知道，2022 年中期站在俱乐部里，但从欧洲回到美国后不久，他就会遇到追踪他的联邦调查局特工。威廉姆斯没有低调，而是加大了自己的活动力度，不仅是黑客攻击，还涉嫌下令实施身体暴力，并对全国各地的大学发出炸弹威胁。

您还了解有关通讯的其他信息吗？我很想听听你的消息。使用非工作设备，您可以通过 Signal（+44 20 8133 5190）安全地向我发送消息。否则，请向我发送电子邮件至 joseph@404media.co。

威廉姆斯的罪行并非孤立于一名年轻黑客，他拥有的钱多到他不知道该怎么办。他的故事也不仅仅是关于 ACG 这样一个团体的崛起，该团体继续给其所属的更广泛的社区（即“Comm”）带来恐惧。威廉姆斯是两个传统上独立的犯罪部门之间迅速而大规模融合的一部分。像威廉姆斯这样的人将无摩擦、复杂的网络犯罪世界与残酷的身体暴力结合起来，催生了一个全新的地下区域，在那里基本上一切皆有可能。黑客不再只是键盘后面的人。他们现在有枪了，无辜的人正在受伤。

回到夜总会，威廉姆斯旁边的一名男子为倒香槟的凯旋门工作人员欢呼，威廉姆斯却继续盯着手机。他对着设备的屏幕笑了笑。那是他的世界。

银行工作中的每个人都有特定的角色。SIM 卡交换团伙也不例外。SIM 交换是黑客用来控制目标电话号码并进而控制其数字生活和财务的技术。盗窃行为从“搜索者”开始，他可能通过使用软件翻查大量潜在密码或从其他黑客那里购买登录凭据来闯入一个人的电子邮件帐户。然后，搜索者就像银行劫匪一样，在目标的收件箱中翻找。他们正在寻找此人拥有大量加密货币的任何迹象。显示他们的比特币余额的电子邮件；可能是该人之前出售部分加密货币换取现金时的收据。任何表明这一目标的事情都值得推进下一步。

一旦搜索者被击中，他们就准备掩盖该团伙的踪迹。他们配置收件箱以隐藏来自目标比特币交易所的传入电子邮件。如果被发现，这些可能会警告目标出现问题——“我们检测到您的帐户存在异常活动。” 通过自动删除或存档这些内容，搜索者可以摧毁银行大厅的安全摄像头。

接下来，呼叫者介入。此人是甜言蜜语者，他将欺骗银行员工让他们进入金库。如今，许多加密货币交易账户都受到第二层安全保护，用户需要接收短信并输入代码才能提取资金。呼叫者的工作就是获得对该电话号码的控制权。他们通常通过联系目标的电信公司（T-Mobile、AT&T、Verizon）并假装是目标来做到这一点。他们可能会说，我丢了手机，我需要将号码转移到新手机。然后，呼叫者告诉电信公司将号码（交换 SIM 卡）转移到他们选择的手机上。

等待的是最后一名船员，即持有者。拥有手机将成为黑客发薪日的钥匙，这个人就是锁匠。一旦电信公司将目标号码移植到持有者的手机上，它就可以开始接收登录代码。然后，持有者将这些代码转发给搜索者，搜索者从此扮演了更具攻击性的角色。他们最终进入目标的加密货币账户，并开始用比特币填充他们的行李袋。 

一旦比特币从目标账户转入黑客账户，黑客就会消失得无影无踪。然后他们开始下一个工作。 

第二年春天，威廉姆斯在圣安东尼奥的一家 Airbnb 民宿俯瞰着一个狗公园，以持有人的身份运送了 ACG 的登录代码。威廉姆斯只用一部黑色 iPhone 7 来武装自己，帮助清空了 Coinbase 上多个受害者的账户，Coinbase 是美国最知名的比特币交易所之一。 T-Mobile 的一份工作让 ACG 净赚了 3 万美元。然后是第二个20万美元的分数。在另一起抢劫案中，该团伙抢走了 153,000 美元。

在最后一个案例中，ACG 未能阻止受害者意识到有些事情不对劲。搜索者屏蔽了受害者电子邮件收件箱中所有来自 Coinbase 的电子邮件，但被劫持的 Verizon 电话号码实际上属于目标的父亲。4 月的一个晚上 11:15，父亲收到一封来自 Verizon 的电子邮件，表明他的电话号码正在被转移到另一台设备上。即使有明显的危险信号，他们也无能为力，只能向当地警方报告这起盗窃事件。ACG 拿走了 153,000 美元并继续前进。

当明尼苏达州法明顿警察局（FPD）回应这一举报时，他们就像走进了一个空荡荡的银行金库，门被窃贼匆忙打开，地上只有几个脚印。由于没有太多可利用的信息，调查人员开始采取相当于清除指纹的数字方式——他们询问 Verizon 受害者的号码被转移到哪部手机以及该手机所在的位置。该信号指向 1000 多英里外德克萨斯州圣安东尼奥市的一座手机信号塔。FPD 还从 Coinbase 获得了搜索者登录位置的详细信息。返回的 IP 地址指向美国另一边的加利福尼亚州富勒顿市。

一项证据更为确凿。FPD 随后从苹果公司获得了有关 Holder 设备的记录。法庭记录后来称，与该电话相连的电子邮件指向一个名字：布雷登·威廉姆斯(Braiden Williams)。

但显然，这些线索超出了中西部当地警察部门的能力范围。小镇机构打算对几个州的犯罪分子采取什么措施？目前，盗贼已经逃走，准备进行下一次抢劫。 

现金拼ACG的照片。图片：404 MEDIA

在狗公园附近的 Airbnb 推出后，威廉姆斯将他的运营基地换成了圣安东尼奥西侧的一间平房。到了夏天，Williams 的 iPhone 已经成为了 ACG 的高流量清算所。该设备可以控制 30 个不同的电话号码，每个电话号码都可能带有窃取目标加密货币所需的开锁器。 

随着 ACG 获得更多分数，成员们开始庆祝。该团伙将现金放在地板上以拼写#ACG。他们买了很多药片并以同样的方式展示。威廉姆斯的分成至少为 114,000 美元。这位年轻的黑客疯狂消费：他买了一辆 2015 款福特野马、一辆黑色 2016 款道奇挑战者，然后又买了第二辆 2020 款道奇挑战者，这次是橙色。

然后在 2022 年中期，威廉姆斯利用数字银行抢劫所得的赃物在巴黎 L’Arc 进行了大肆投资。另一位 ACG 成员乔伊 (Joey) 进行了自己的国际俱乐部之旅。就像威廉姆斯在 L’Arc 中大张旗鼓地宣传 ACG 一样，乔伊在加拿大多伦多的专属场地 Daisy 中也做了同样的事情。

“ACG JOEY X TURF”的标语上写着，工作人员在欢呼的人群中传递着这一信息。另一个人说：“胡说八道，”两名与该团伙有关的人在一旁观看。他们亮出了镶满珠宝的手表和手镯，并为围坐在桌子旁的女士们倒了一杯香槟。年轻人不喝酒，而是直接将珠宝浸入瓶中的香槟中，这样香槟就流过他们并进入下面的冰桶中。现在ACG赚这么多钱，连Dom都不需要喝了。这只是为了弯曲。

一名成员甚至制作了一首说唱歌曲，吹嘘 ACG 的功绩，同时也鄙视其他 SIM 交换器：

只是舔了一下 Coinbase 和普通短信。如果我再得到一个G，我就会变得沮丧。这个 n***** Brad 甚至连 Comcast 都骗不了 […] 我有一个 Verizon n***** 500k。那个黑鬼同一天跑到了 Verizon 商店 […] 这些黑鬼可以像我一样 SE [社会工程师]，他们只需要一些练习 […] 不要患有多动症，但我仍然过度活跃。

这是 ACG 在更广泛的 SIM 交换和犯罪黑客社区中臭名昭著的时期。在 Discord 服务器和 Telegram 群聊中，可能有数千人参与了被广泛称为 Comm 的组织，这是一个由黑客、游戏玩家和年轻女孩组成的模糊网络，有时她们会成为其他参与者的目标。ACG成为Comm内部不断热议的新热门团体。其他人非常想加入该组织，以至于有些人甚至假装是会员，向他们的 Telegram 联系人吹嘘。人们好奇这个ACG团体是谁，来自哪里。 

“acg 是什么？”一个人在 Telegram 群聊中写道。

“Acg on fckn [fucking] top，”另一个账户立即回复道。 

联邦调查局也提出了同样的问题。

法明顿警察局可能无法对 153,000 美元的盗窃案采取行动，因为数据显示嫌疑人远远超出了其管辖范围。联邦调查局没有这样的限制。密苏里州堪萨斯城的一名 FBI 探员（名字缩写为 JFS）审查了 FPD 迄今为止掌握的 Coinbase、Verizon 和 Apple 数据，还发现 Williams 住在距离牢房仅几英里的 Airbnb 中盗窃期间使用的塔。这并不困难；威廉姆斯似乎没有做出任何努力来掩盖自己的踪迹。SIM 交换者与其他网络犯罪分子之间的区别并不在于前者一定是愚蠢的。有时他们似乎根本不在乎自己是否被抓住。

2022 年 7 月 21 日，威廉姆斯在欧洲过着奢侈的生活大约一个月后，联邦调查局特工追踪到了嫌疑人。威廉姆斯立即自愿透露了一切：是的，他参与了多次 SIM 卡交换；是的，他参与了多次 SIM 卡交换；是的，他是ACG的Holder，其他人则扮演Callers的角色；他将这些盗窃所得的现金用于国际旅行和车辆。不出所料，特工随后逮捕了威廉姆斯。他被指控犯有黑客罪，并面临数年监禁。

一般来说，故事到此就结束了。骗子可能会发现自己的做法是错误的，并发誓要扭转自己的生活。也许威廉姆斯可以进入合法的网络安全行业并离开犯罪世界。或者也许他会被关进监狱很长一段时间，我们再也不会听到他的消息了。

大约一周后，威廉姆斯被释放，并设法保住了他的 2020 款道奇挑战者。最初，除了通过 Zoom 参加法庭听证会外，他不被允许将支持互联网的设备用于任何目的。八月，法院取消了其中一些限制，这意味着威廉姆斯还可以播放电视节目，或寻求教育和就业机会。

那不是威廉姆斯所做的。相反，威廉姆斯据称利用他的互联网访问和自由对特定目标发起了暴力骚扰活动。

去年秋天，威廉姆斯向 15 岁女孩丽贝卡（化名）发送了 Snapchat 好友请求。法庭记录显示，在接下来的几个月里，两人一直在聊天。 

尽管没有公开证据表明丽贝卡和威廉姆斯身上发生了这种情况，但 Comm 内部许多关系的首要背景是成员试图控制和威胁女孩。 

其他Comm成员的聊天记录显示，一方面，男人们变得粘人、防御性强，说他们以某种方式“拥有”这个女孩。随着刻度进一步向右移动，该活动变得更暗。女孩们被告知用笔把黑客的手柄写在尸体上。这种写作有时可能是血淋淋的。一些男子勒索女孩制作性图像或视频，然后可以用来勒索和进一步控制她们。在这个范围的远端，男人们有时会用武器指着女孩的脸，并拍摄下来以供娱乐。 

（联邦调查局警告公众，Comm 中存在一些特别阴险的角落，这些角落由“764”和“泄密协会”等组织组成，这些组织不仅有敲诈勒索和虐待行为的副作用，而且是其成员的核心特征。联邦调查局警告称，一些成员的最终目标是“为了自己的娱乐或名誉感，迫使他们勒索的未成年人在直播中自杀”。）

威廉姆斯与丽贝卡的谈话并没有持续多久，因为威廉姆斯与当局陷入了更多麻烦。十一月初的一天晚上，威廉姆斯开车穿过艾奥拉，这是堪萨斯州的一个小镇，除了加油站和酒店之外，没有什么其他名字。午夜左右，居民抱怨一名鲁莽的司机在原本安静且绿树成荫的路段行驶。当当地警方发现这辆车时，威廉姆斯并没有停下来，带领当局追击了 75 英里。他被逮捕、释放，然后因违反保释条件而被美国法警再次拘留。法官下令将威廉姆斯转移回加利福尼亚州，接受在那里更换 SIM 卡的指控，最终，威廉姆斯于 2023 年 3 月被释放到中途之家。

当丽贝卡得知威廉姆斯退出后，她拉黑了他。就在那时，威廉姆斯升级了。丽贝卡收到了未经请求的食物送到她位于宾夕法尼亚州安布勒的家中，她认为威廉姆斯至少侵入了她的一个帐户。然后威廉姆斯更进一步，在物质世界中接触到了她。

2023年4月，两名男子紧张地喘着气，匆匆走上一条水泥路。穿过一棵开着鲜艳的紫色花朵的小树，他们来到了房子的前门。

“粉碎它，粉碎它，”其中一名也在拍摄这次遭遇的人低声说道。另一个男人穿着黑色连帽衫和牛仔裤，手里拿着一块砖头，上面缠着一张纸。然后，他反复敲打家里的 Blink 视频门铃，然后砸碎了一扇窗户，并将砖头扔进去。

“丽贝卡是个妓女！” 第一个男人大声喊道，声音沙哑。男人们随后转身就跑。 

砖块上贴着一张纸条。“给我们留言，否则，”上面写着。当当地警方对变砖事件作出回应时，丽贝卡 17 岁的妹妹提到了这一切都与通讯有关，她说。

威廉姆斯所谓的与身体暴力的联系是通讯中更广泛、更血腥的趋势的一部分。不满足于数字世界的盗窃行为，ACG等组织的黑客为了金钱而互相暴力抢劫、袭击和绑架。有人将受害者绑起来，并威胁要给他注射海洛因，除非他交出比特币。另一名男子被抓后脸朝下躺在沟里，头戴黑色兜帽。“我向你保证，我没有钱，”另一名只穿着内衣的男子呜咽着，鲜血从他的头上喷涌而出。“我弟弟的灵魂就只有这些了，”他补充道。袭击者拿着锤子，穿着高清晰度背心；在某些情况下，窃贼冒充警察进入目标的房屋。还有一次，一名年轻人因有人割掉他的耳朵而痛苦地尖叫。

到目前为止，SIM 交换者通常会针对持有大量加密货币的普通人（例如个人投资者）进行抢劫。但随着 Comm 成员变得越来越富有，他们在 Telegram 和 Discord 上炫耀自己新发现的财富。除了国际夜总会旅行的视频外，会员还发布了一系列屏幕截图，显示他们当前的比特币和其他加密货币余额。对他们来说，使用现金与实际拥有现金一样重要。这意味着你已经在 Comm 中“成功了”。

但 SIM 卡交换者的明目张胆的展示却让其他人看到他们正在大肆挥霍现金。SIM 交换者自己也成为目标，并开始使用肢体暴力互相抢劫。 

服务经济出现了，人们愿意以收费或分成的方式进行这些攻击。在 Telegram 上，一个团伙以数百至数千美元的价格进行砸砖、抢劫和绑架活动。说出哪个州的名字，他们就会看看那里是否有人。当抢劫仅限于数字时，搜索者会通过翻阅电子邮件来找到有趣的目标，然后聘请持有者来接管他们的电话号码。搜索者现在寻找受害者，然后将他们的详细信息提供给这些组织中的新角色：砖匠。战斗机。枪手。

暴力的爆炸范围从通讯区延伸出去，影响到了其他人。JFS 是调查威廉姆斯参与 ACG 的匿名 FBI 探员，在刑事起诉书中使用了姓名缩写，因为他们认为威廉姆斯的同伙与殴打美国执法官员有关。打击是指犯罪分子向紧急服务部门拨打虚假电话，希望吸引全副武装的目标来响应，​​至少给他们造成痛苦，但也可能造成人身伤害。在一次电话中，一名委员会成员给一名联邦调查局特工打电话，反复让他们闭嘴，并说，用这么几句话来说，他们是精神障碍。Comm 如此厚颜无耻，以至于成员们甚至嘲笑 FBI。

这场暴力现在正在影响与 Comm 无关的普通人：这两个人用砖砌的房子是错误的房子。他们的目标实际上就住在隔壁。

如果这还不够，威廉姆斯和 ACG 的活动将触及美国各地无数儿童、家长和教师的生活。很快，一波陷害丽贝卡的电子邮件到达数百所学校和大学的收件箱，对他们发出炸弹威胁。他们。这些电子邮件将丽贝卡定为罪魁祸首，其书写方式也暗示她就是发件人。

“我已经制造了硝酸铵和氮弹，我要去你的工作场所，把它炸毁，作为我对这个我们称之为地球的地狱的最后告别，如果有人试图阻止我，结局不会好。 ，因为我的高中也有定时炸药，”其中一封自称是丽贝卡写的电子邮件写道。“在我完成这件事之前，不要派任何人到我家，因为我有我父亲的 AR-15，我会毫不犹豫地自杀或杀死任何试图阻止这种情况发生的人。你们都会死得很惨。你们学校的每个人都会死。”

威廉姆斯随后直接威胁丽贝卡：如果她不回应，他就会“主动出击”。他甚至威胁要轰炸她。

Comm、ACG 和 Williams 都失控了。5 月 12 日，安布勒警察局联系了联邦调查局 (FBI)，该局现在正在应对针对学校的威胁，而不仅仅是隔着窗户的砖头。在第一次未能遏制问题后，联邦调查局再次介入。

法庭记录的一部分列出了发送给学校和大学的电子邮件。图片：404 MEDIA。

费城联邦调查局特工扎卡里·富勒在这次调查威廉姆斯时决定使用他们的全名。富勒采访了丽贝卡，丽贝卡再次指向 Comm，这次特别提到了 ACG。威廉姆斯也威胁要交换 SIM 卡的丽贝卡。

在当前炸弹威胁紧迫的背景下，当局争先恐后地获取更多信息。他们向 Verizon 和另一家通信公司发出了紧急数据请求，该请求指向威廉姆斯的中途宿舍。当联邦调查局官员进入时，一名特工拨打了一个与丽贝卡威胁相关的电话号码。威廉姆斯的口袋里有什么东西响了。特工拿出电话，甚至在那一刻，其他人也在监听：电话在 Discord 上拨打了一个名为“ACG MEETING”的电话。现在，团伙的其他人肯定知道发生了什么事。

这次逮捕似乎制止了威廉姆斯的暴行。有传言称他与当局合作。在一家夜总会里，五彩纸屑从天花板上如雨点般落下，女人们举着香槟和烟花。舞池对面的墙上闪烁着一条信息：“布莱登告密了。” 威廉姆斯不再是当晚的风云人物。他是笑柄。

这些谣言并不局限于威廉姆斯用来炫耀自己财富的那种俱乐部。在某个时候，威廉姆斯的 Snapchat 头像变成了穿着警察制服的人物，这是对他涉嫌与当局合作的认可。 

但是，ACG 仍然是一个难以捉摸的目标。多名成员似乎仍然是自由的，在 Telegram 上发帖并嘲笑竞争对手。该组织领导人 exe 或 awpy 尚未宣布被捕。如果威廉姆斯在刚刚被削减时就能过得很好，那么头目们可能会赚到什么。