“挖矿”两年，利润1500万

嫌疑人被捕

调查人员查获的一些工具

每个网络游戏爱好者都想成为永远的赢家。如果你要问如何才能成为赢家，有人会说，有一种“神器”，叫做“游戏外挂”，可以保证你在每一场战斗中都取得胜利。“游戏外挂”自诞生之日起就受到网络游戏玩家的青睐——帮助他人作弊、为他人“挖矿”，甚至操纵他人电脑作案。

山东省青州市网吧管理员何相成是一名“外挂高手”，凭借着无以伦比的“武功”遨游网络。俗称“挖矿”）“独特”生存。

什么是“挖矿”

“挖矿”，什么是“我的”？即由特定字符串组成的数据值。“挖矿”是指非法控制他人计算机信息系统，通过大量计算机操作获取数字货币。这是计算机系统下的犯罪。

“挖矿”通常的过程是犯罪嫌疑人将预先开发的插件程序（木马程序）安装在配置高、运行速度快的目标计算机上，通常是网吧的计算机。电脑一开机，这些插件就会自动在后台运行，并不断更新。在此过程中，犯罪嫌疑人利用“机会”（目标计算机）寻找特定字符串进行数据收集。只要找到特定的数据值挖矿需要翻墙吗，就可以从虚拟货币矿池中获得奖励，即获得虚拟货币。

虚拟货币矿池是一个全自动的挖矿平台，按照“矿工”贡献算力（比特币网络处理能力的衡量标准）的比例分配奖励。一般来说，虚拟货币矿池是建立在犯罪嫌疑人的计算机服务器上的。等待虚拟货币挖矿的稳定，让“矿工”的收获趋于稳定。当“矿工”的虚拟货币达到一定数量时，就可以在相关网站上提取并兑换成人民币，​​以获取非法利润。

何向成通过“挖矿”成名，拥有“世界网吧论坛”主持人、大连升平网络有限公司（以下简称升平公司）迅推平台大客户经理等多项头衔) 在辽宁省。互联网给他带来了财富，也给他带来了噩梦，让他的生活变得飘忽不定。现在，梦想消失了，只剩下罪恶。

8月3日，山东省青州市检察院以涉嫌非法控制计算机信息系统罪，批准逮捕何向成及其同伙贾峰、李云（贾峰的妻子）等9名犯罪嫌疑人。2015年以来，该团伙利用黑客技术控制了389万台电脑主机和超过100万台挖矿主机，非法获利超过1500万元。据悉，本案是山东省检察院审理的第一起利用木马程序非法控制他人计算机信息系统，通过“挖矿”牟利的新型刑事案件。

撬开“论坛版主”的“冰山一角”

何向成是如何进入警方视线的？原来，腾讯安全团队检测到一个带有隐藏木马程序的游戏插件，就是何相成开发的“PUBG Mobile”插件。他等人利用这个外挂程序非法控制607台电脑进行“挖矿”，直到事发时，木马程序感染了数十万用户电脑。

腾讯网络安全部门的工作人员告诉记者，一旦用户下载了《绝地求生》外挂程序，电脑就会被植入木马程序。“杀毒手段不断升级，木马也在不断升级，可谓‘路高一尺，魔道一尺高’！” 办案检察官赵淑芬感慨地说。

赵树芬介绍，这个挖矿程序会自动检测电脑的使用情况。当CPU（中央处理器）使用率在一定范围内时，木马会自动启动并在后台静默挖矿。不够。这会消耗相当多的计算机 CPU、GPU（图形处理单元）资源和电源资源。何翔为何对电脑如此熟悉，又是如何悄悄潜入“挖矿”的？一连串的问号困扰着办案的检察官。

这是三年前的事了。当时32岁的何向成是当地一家网吧的网络经理。一次偶然的机会，他成为了“世界网咖”论坛的版主。何向成利用版主身份，建立了多个插件讨论群，不仅在群文件中分享插件程序，还悄悄将含有木马的插件程序上传到“世界网咖”论坛，供网友们讨论。下载。平时，何向成也会利用木马程序，在电脑用户身上投放广告弹窗，以获取广告的收益。用户每1000次点击，何向成将获得零点几块钱的收益。单看单笔收益是很小的，但随着时间的推移，收益可不是一个小数目。

很快，何相成成功为《绝地求生》等游戏“开发”了新的外挂，具有“自动瞄准”、“透视”、“子弹加速”、“子弹追踪”等功能，并通过社交推广群和论坛，免费提供给网友。下载开发大量用户。

随着“事业”越来越大，何向成也不再满足于“小麻烦”。他喜欢研究和造假“爱奇艺”，编写酷易VIP视频服务器和客户端，在全国开发了60多家代理，并以年卡和月卡的形式销往全国各地的网吧。至案发时，何相成已向全国2465家网吧出售年卡5774张、季卡282张、半年卡116张、月卡3285张，非法获利20万元以上。

此外，何向成还有一个重要身份，那就是58寻推平台的大客户经理。何向成利用58迅推的增值客户端控制了3万多台网吧主机，非法赚了2多8万多元。

2017年10月起，何相成修改了58迅推的增值客户端和挖矿程序，嵌入了自己的HSR（卤肉币）钱包地址。转到他们的 HSR 钱包。截至事发时，何向成已挖出8552枚硬币（最高价为252元/枚，目前市值为42元/枚）。

顺藤摸瓜挖出“幕后主”

58迅推增值联盟起源于一家网络公司盛平公司。公司成立于2014年，位于大连市甘井子区。该公司有两个网站：一个是迅推，另一个是Fast Tweet。两个网站在分工上各有侧重。迅推主要专注于广告增值和云增值（即“挖矿”，即挖矿虚拟货币）；Speedy 是一款移动应用程序。

2014年试运行后，公司幕后负责人贾峰指示公司副总裁兼运营总监张焕良组织所谓的“研发”，即先开发矿用监控软件，然后整合挖矿程序。很快，公司组建了以闫石为技术总监挖矿需要翻墙吗，赵乐乐、丛宁一、彭丽山等人为技术骨干的研发团队，完善了已发现的采矿方案，使其成为“ EXE”木马。程序。程序开发完成后，将由测试部的测试员白华进行测试。一旦测试成功，将在公司的迅推客户端平台上线，然后郭一杰、费林洋等客服部的工作人员通过客服和QQ向市场推广。客服部肩负着“培养线下领导力和引导使用”的双重任务。在向市场推广的过程中，成功“吸纳”了何向成、张数等多家线下。

何向成等线下用户从迅推平台下载增值客户端程序后，以各种方式非法将增值客户端植入网吧主机，并默默下载挖矿监控软件和挖矿程序，跑。挖出的币将转入何向成等人的虚拟货币钱包，公司财务总监李云随时提现提现，并根据受控终端数量向代理商发放佣金。这些虚拟货币主要包括DGB（数字币）、XMR（门罗币）、Zcash（零币）等类型。至案发时，该团伙成员非法控制超过389万台电脑主机，以宣传增值收入，在超过 100 万台电脑主机上默默安装挖矿程序，两年内共挖出超过 2600 万枚 DGB（数字币）。这些虚拟货币大部分已被售出，犯罪嫌疑人累计非法获利超过1500万元。

全部离线

与何相成同时加入58寻退增值联盟的杜良辉、张舒、高月然，也是发展迅速的三个“线下”。

33岁的杜良辉来自广东佛山，是升平公司成立之初的客户，被视为高级“员工”。他从迅推网站上下载了盛平公司提供的EXE格式客户端程序，对软件进行了编辑，绑定到自己编写的一个小软件上，用于消除网吧广告。与其他广告一样，升平公司的广告仍然可以接受。杜良辉还把自己写的软件分享到网管QQ群，请其他网管朋友帮忙推广。很多人用得很好，于是下载安装到网吧系统中。. 就这样，杜良辉利用网吧维护者的身份，默默植入了“EXE” 由迅推网站“推广”的木马程序进入网吧电脑。事发时，杜良辉非法控制9495台电脑进行“挖矿”，获利100元。一万多元。

36岁的黑龙江小伙张树和同龄的老乡高悦然也在“挖矿”的第一线忙碌着，与贾某形成了“铁三角”冯。早在2014年，贾峰和张树就认识了。当时贾峰在做广告弹窗，张舒是一家互联网公司的法定代表人，负责维护“网网先锋”的网站，本身就有推送通知。功能，为以后的挖矿留下了一个“洞”。

2017年6月至2018年4月，张舒与高悦然一起，利用“建网先锋”网吧管理系统的便利性，将盛平公司提供的“EXE”木马程序植入“建网先锋”服务器。 “建网先锋”，非法控制黑龙江一亩园网吧、银河舰队网吧、大家网吧等486家网吧，共计15772台电脑被用于“挖矿”牟利。张舒和高悦然作案时，盛平公司负责木马程序的正常运行、虚拟货币开采量的统计、变现和提现。其中，给张叔的回扣超过30万元。

2018年4月，青州市公安局向大连派出50余名能人。在当地公安机关的协调配合下，经过紧张的侦查工作，最终认定涉嫌非法控制计算机信息系统的犯罪嫌疑人贾峰、李云等。都被俘虏了。至此，警方破获这起非法控制计算机信息系统的特大案子，抓获涉案犯罪嫌疑人20名，成功摧毁涉案网络科技公司2家，查获涉案电脑52台，缴获游戏黑客程序1个、vpn加速器1个。1、酷易VIP影视木马控制程序1个；同时，公安机关还查获了157 58个迅推木马增值客户端，

据办案公诉人介绍，由于这种新型刑事案件的保密性强，受害人对犯罪分子的“挖矿”行为知之甚少，多数情况下对电脑的外挂程序一无所知。 . 这不仅直接影响了电脑的GPU和CPU的正常运行，也造成了巨大的电力资源浪费。

（嫌疑人及涉案公司均为化名）