🔒
AWAITING INPUT...
REC // LIVE
TIME: 00:00:00
ENCRYPTION: AES-256-GCM
LATENCY: 12ms
等级:绝密 / TOP SECRET / EYES ONLY CLASSIFICATION: LEVEL 5 - RESTRICTED

「剪刀手」调查报告 SOAPBOX-CN Investigation Report

魔兽世界外挂黑产全链条深度解剖 Deep Anatomy of the WoW Black Market & SOAPBOX-CN Scripting Platform

AUTHOR: HASAN | ID: GSE-2025 | STATUS: CONTAINED

法律风险提示与阅读声明

本文旨在基于公开可查信息(如网站历史快照、工商备案信息等)及多方匿名信源提供的情报,对「剪刀手」这一软件及其相关争议事件进行梳理与分析。文中提及的所有个人、主体,在未经司法机关最终生效判决认定前,均应被视为无罪。本文不构成任何形式的法律意见、财务审计结论或对事实的指控。所有相关事实的最终认定,以有权机关发布的官方信息为唯一标准。
DISCLAIMER: This report is based on public records and anonymous intelligence regarding the "Soapbox-CN/GSE" software. All individuals and entities mentioned are presumed innocent until proven guilty by judicial authorities. This document does not constitute legal or financial advice. Final fact determination rests with official authorities.

ABSTRACT // 摘要

调查缘起:从「人肉威胁」到「刑事打击」The Trigger: From Doxing Threats to Criminal Investigation

本报告起始于一宗由玩家「大雄」使用外挂并对揭露者进行人肉搜索及人身威胁的恶性事件。以此为切入点,本报告详细回溯了对「剪刀手」外挂的重启调查过程,揭示了其在运营安全、内部管理及技术水平上的多重漏洞。 This report originates from a malicious incident involving player "Da Xiong," who utilized cheats and subsequently doxed/threatened whistleblowers. This event triggered a renewed investigation into the "Soapbox-CN" platform, exposing critical vulnerabilities in its OpSec, management, and technical infrastructure.

! 导火索事件 / The Trigger Event

大雄使用 GSE 冲击 WCL 榜单被发现后,不仅不道歉,反而对举报者进行人肉搜索(开盒)并扬言「剁手」。其公会会长(三木随风)公然袒护,称其为「铁板」。该行为将普通游戏作弊上升至刑事威胁层面。 After being caught using GSE to exploit WCL rankings, player "Da Xiong" doxed the reporter and threatened physical violence ("chop off hands"). His guild leader publicly protected him. This escalated simple game cheating into criminal harassment.

// 调查目标参数 / Mission Parameters

  • >
    [定性] 确认该软件属于破坏计算机信息系统程序 [CLASSIFY] Validate software as "Intrusive Computer System Destructive Program".
  • >
    [溯源] 锁定核心运营者真实身份与资金流向 [ATTRIBUTION] Identify core operators and trace financial flows.
  • >
    [打击] 协助游戏厂商与警方摧毁黑产链条 [STRIKE] Assist publishers & police in dismantling the black market chain.
ORIGIN & OPS // 运营情报

3. 外挂溯源与运营模式 Attribution & Operational Model

01. 前世今生 Evolution History

> 原型:Soapbox Rotations (EU)

> 2016 年:「中文版肥皂盒」(CN Soapbox)

> 9.0 版本:更名为「剪刀手」(Scissorhands)

> 2024 回归:更名为「GSE」(Rebranded as GSE)

技术演变:从 HB 兄弟外挂同期产品,演变为针对国服特化的内存解锁器。 Tech Evolution: Evolved from an Honorbuddy-era product into a specialized memory unlocker for CN servers.

02. 盈利模式 Business Model

定价:¥4800 / 年 (本体解锁权) / Year (Base Unlocker)

订阅:¥400 / 月 (使用许可) / Month (Sub)

二次收费:各职业脚本 ¥200+ / 月 / Month (Class Scripts)

! 监管利用: 利用 "网警不懂游戏" 与 "厂商取证难" 的监管盲区。依靠 QQ / 微信群熟人传播。 Exploits regulatory gaps: "Police don't understand gaming" & "Publishers lack forensics."

03. 暴露原因复盘 Exposure Analysis

  • [致命失误] 运营初期使用实名备案网站和实名淘宝店进行销售。 [CRITICAL ERROR] Early operations used real-name ICP filing & Taobao stores.
  • [资金裸奔] 核心成员与循环作者长期使用实名微信/支付宝收款。 [TRACEABLE FUNDS] Core members used personal Alipay/WeChat for payments.
  • [内部渗透] 核心用户群缺乏背景审查,情报被轻易获取。 [INFILTRATION] Lack of background checks on core user groups.
[补充档案] 资金链路拓扑重构 / Financial Topology Reconstruction
用户 (CNY)
User -----------> 发卡平台 (cs3000.xyz)
Card Platform -----------> 洗钱账户: 深圳市拍脑门网络科技
Shell Corp (Laundering) -----------> 运营者账户 (林某鸿)
Operator (Lin)
INVESTIGATION LOG // 侦查日志

4. 线索来源与分析过程 Analysis of Leads & Evidence

root@HASAN-WORKSTATION:~/cases/2025/scissorhands/evidence.log bash - 80x24 
// 2025.05.16 - 09:11
TARGET_LOCK: 查询 http://www.wowsbr.com/ 历史镜像 
// Query DNS history of wowsbr.com
RESULT: 发现备案号 粤 ICP 备 16057588 号 -2 -> 关联嫌疑人 林某鸿
// Found ICP Filing -> Linked to Suspect LIN

// 2025.05.16 - 09:30
LINK_ANALYSIS: 网站底部友情链接 "鼎天科技有限公司"
RESULT: 工商信息交叉比对,确认合伙人身份吻合。
// Cross-reference corp registry, partner identity confirmed.

// 2025.05.16 - 09:55
PAYMENT_TRACE: 淘宝店铺 "中文版肥皂盒" (Taobao Store)
RESULT: 店铺实名认证与林某鸿一致。确认销售关联性。
// Store ID matches suspect LIN. Sales link confirmed.

// 2024.02.24
TECH_INTEL: 外挂服务器记录用户角色 ID 
// C2 Server logging User Character IDs
IMPLICATION: 可提交暴雪提供封号名单,并追查利用外挂牟利的主播/代练(非法获取计算机信息系统数据)。
// Actionable ban waves & prosecution of boosters/streamers.

// 2025.05.16 - 14:22
CORP_STRUCTURE: 关联公司 "深圳市拍脑门网络科技有限公司"
ALERT: 注册业务与小微企业特征不符,疑似洗钱通道。
// Suspected money laundering shell company.

>> 潜伏取证记录 (HUMINT)

[14:22] 侦查员: 老板,听说你们这这东西稳?怎么买?工会进度如果不达标我要被优化了。
Boss, is your stuff safe? How to buy? I'll get kicked if my guild DPS is low.
[14:35] 客服 (林): 谁介绍你来的?没熟人 ID 不接单。现在风声紧,那个「大雄」自己在论坛跳,被盯上了。
Who referred you? ID required. Heat is on because "Da Xiong" was bragging on forums.
[14:45] 客服 (林): 介绍人 ID 是对的。发你的 WCL 链接查下成分。我们只做高端,不卖小白。付款只走 USDT 或者口令红包。
Referral ID verified. Send WCL link to check background. We only serve high-end. USDT or Red Packet only.
心理控制:禁言与洗脑 Psychological Control

该团伙在 QQ 群内实行极端的「禁言文化」。
Extreme "Gag Order" culture in QQ groups.

  • 任何质疑话术直接踢人不退款。
    Instant ban/no refund for questioning.
  • 鼓励用户互相监督,举报私自倒卖脚本有奖。
    Incentivized peer surveillance.
  • 灌输「被封是因为你太张扬」的受害者有罪论。
    Gaslighting: "You got banned because you were too loud."
CHRONOLOGY // 行动进程

关键行动时间线 Operation Timeline

2025.05.14

重启调查 & 样本提交 Investigation Reboot & Sample Submission

正式重启调查,并将逆向获得的客户端代码样本提交暴雪 / 网易。

2025.05.30

多方联动 Joint Task Force

情报简报打包提交给网易安全团队及公安执法部门。

2025.06.03

官方公告 Official Statement

官方发布处罚公告,正式点名打击「剪刀手」。

2025.06.19

功能畸变 & 私下分发 Malware Mutation & Private Release

外挂转向私下文件传输。新版客户端被发现 新增扫描微信 (WeChat) 和本地硬盘功能,同步微信安全部门。
New version detected scanning WeChat and local hard drives.

2025.07.21

取证与鉴定 Forensics & Judicial Appraisal

网易协助公安笔录,新版客户端(含恶意扫盘功能)送交司法鉴定。

2025.08.08

集中抓捕行动 Operation Net-Closure (Arrests)

雷霆收网。 核心运营成员落网。

2025.09.08

后续打击与自首 Aftermath & Surrender

叶某落网,内线及部分循环作者陆续主动投案。

INTELLIGENCE // 人网情报

嫌疑人团伙架构 Suspect Syndicate Hierarchy

LEVEL 1: 核心操盘 / CORE OPERATORS

CAPTURED / 已归案

林某鸿 (隔壁老王)
Alias: Neighbor Wang

核心运营者 / 资金链首脑 Core Operator / Financial Head

风险点:淘宝实名、备案泄露、BTC 交易

鼎天科技有限公司 (备案主体) / ICP Filing Entity
深圳市新恒熙控股 (关联) / Associated Corp
裕丰海洋生物科技 (资金流) / Financial Conduit
! 深圳市拍脑门网络科技 (洗钱) / Money Laundering
WANTED / 在逃

谢某 (修理工)
Alias: The Mechanic

GSE 二代开发者 GSE v2 Developer

风险点:开发恶意扫盘功能,逃逸
Dev of malware module. Fugitive.

CAPTURED / 已归案

雷某 (Windforce)

技术框架维护 / 核心分销 / 代理权控制 Maintenance / Distribution Control

风险点:双重身份、基础设施控制

LEVEL 2: 技术与执行 / TECH & EXECUTION

UNSUBSTANTIATED / 证据不足

林某熙 (初代技术)
First Gen Tech

Soapbox 破解版开发者 Cracked Soapbox Dev

风险点:技术源头、交易记录

CAPTURED / 已归案

叶某 (魔兽厂长)
Alias: WoW Factory Manager

分销商 / 自制脚本 Distributor / Scripter

情报:疑似前网易员工 ,参与 Tinkr 框架开发和销售
Intel: Ex-NetEase employee. Linked to Tinkr.

THE ARCHITECTS // 生态枢纽

循环作者:外挂的大脑 Rotation Authors: The Brain of the Cheat

他们不只是用户,他们是外挂「智能大脑」的构建者。
They aren't just users; they are the architects of the automated logic.

基础开发者 (Unlocker Dev)

造枪者 The Gunsmith

  • > 技术:C++ / 汇编 / 逆向 / Reverse Engineering
  • > 目标:攻破 Warden 防御 / Bypass Warden
  • > 产出:无限制的 API 接口 / Unlocked APIs

循环作者 (The Author)

造智能子弹者 The Smart-Bullet Maker

通过深度拆解游戏机制,利用数学模型将最优解转化为杀人代码,让外挂从「能用」变成「WCL 100 分神器」。
Uses math models to translate game mechanics into killer code, turning the cheat into a logic engine for 100 parses.

Target Identification List / 目标识别名录

01
chingGG
ID: 98124
02
XXS
ID: 22130
03
共产
ID: 99401
04
冰星
ID: 10223
05
XHG
ID: 88712
06
不若艳阳
ID: 66321
07
海王
ID: 55102
08
肉丝
ID: 44091
09
大山
ID: 33120
10
熊猫
ID: 22345
11
喵呜
ID: 11092
12
BB
ID: 99281
13
老于
ID: 88710
14
海顾 AIO
ID: 77123
15
明日香
ID: 66234
16
混子
ID: 55192
17
小虎
ID: 44291
18
小信
ID: 33102
19
风月
ID: 22019
20
侏儒兔
ID: 11928
21
new
ID: 90218
22
biubiu
ID: 80123
23
悟饭
ID: 70412
FORENSICS // 司法鉴定

深度技术鉴定 (GSE 样本) Deep Technical Forensics

严重安全警报:间谍软件行为检测 CRITICAL ALERT: Spyware Behavior Detected

在 2025.06.19 捕获的新版客户端样本中,技术鉴定发现新增恶意模块:
1. 主动扫描用户本地微信 (WeChat) 缓存目录;
2. 无差别的本地硬盘文件扫描。
该行为已超出「游戏作弊」范畴,涉嫌严重侵犯公民个人隐私及数据安全。
Updated client (June 19) contains malware modules scanning local WeChat caches and HDD files. This exceeds simple cheating and constitutes severe privacy violation.

核心机制:运行时序分析 Runtime Sequence Analysis

不同于传统挂机脚本,GSE 通过侵入式手段截获游戏客户端控制权。下图展示了其完整的启动、注入、通信及执行流程。 Unlike passive bots, GSE uses intrusive injection. Diagram shows the full execution flow.

Lua FrameworkInjected DLL / ReflectiveLoaderwow.exeAliCloud OSSShared Mem (_communication_data_rtl_)Auth Service :999GSE.exeUserLua FrameworkInjected DLL / ReflectiveLoaderwow.exeAliCloud OSSShared Mem (_communication_data_rtl_)Auth Service :999GSE.exeUserLaunch / Input CredentialsHTTP Auth / HeartbeatConfig / Token / OSS ParamsWrite Session / Control DataDownload Core (NewestFile.dat)Anti-Tamper / DecryptEnumProc -> OpenProcess(0x143A)VirtualAllocEx / VirtualProtectExWriteProcessMemory(Embedded DLL)CreateRemoteThreadEnter ReflectiveLoaderInit Lua (Frame.lua/Limit.lua)Heartbeat / Telemetry / FlagsExec via C++ Interface
[MEM_DUMP / 内存取证]
MemoryKey _communication_data_rtl_
Domain [REDACTED_C2_HOST]
Registry HKCU\Software\GSE
AccessMask 0x143A (PROCESS_ALL_ACCESS)
[!] SECURITY BREACH:
OSS_KEY: LTAI5tQcq****** (Exposed)
BUCKET: public-rotation

>> 实时心跳监听 Live Heartbeat

FUNC xliGkRoBDo
ADDR 0x143A
OP_02 WriteFile
OP_04 ObjectPosition
OP_07 UnitCombatReach
OP_12 IsAoEPending
OP_16 ClearTaint
AUDIT // 财务审计

涉案规模估算 Estimated Revenue Audit

历史总收益 (2016-2024)
Historical Revenue
¥87,720,000
网之易 + 台服时期
回归后收益 (2024-2025)
Post-Return Revenue
¥7,893,333
核心付费用户
Core Subscribers
5,450+
本体年费单价
Unlocker Annual Fee
¥4,800

* 注: 理论模型推演,非最终司法认定金额。Note: Theoretical model. Not judicial fact.

PROFILING // 心理画像

用户画像深度分析 User Profiling & Psychology

绩效导向型
Performance Oriented

代表用户: 榜单执着者 (Rank Chaser)、职业代练 (Booster)

心理动机: 虚荣心、社交认同焦虑、纯粹商业利益。
Vanity, Social Anxiety, Commercial Gain.

特征: 手动操作不可控。代练将其视为「降低疲劳成本」的固定资产投资。

顶尖开荒型
Top-Tier Raiders

代表用户: 首杀争夺者 (High-End Raider)

心理动机: 极致的功利主义,为了团队胜利不择手段。
Extreme Utilitarianism. Win at all costs.

特征: 想要绝对稳定的「输出机器」。最看重外挂「规避插件污染 (Taint)」的能力。

体验导向型
Experience Oriented

代表用户: 高龄老兵 (Aging Veteran)、多号党 (Alt-aholic)

心理动机: 克服生理机能下降,维持社交连接,逃避重复劳动。
Overcoming physical decline, Socializing.

特征: 消费能力强,买的是「不拖后腿」的尊严。

APPENDIX // 附录

外挂类型辨析 & 生态监测 Cheat Taxonomy & Global Monitor

类型 (Type) 像素挂 (Pixel Bot) 内存解锁器 (Unlocker) 内存修改挂 (Memory-Write)
原理 / Logic 屏幕颜色识别,模拟按键
OCR / Color detection		 DLL 注入,解锁原生 API
DLL Injection / API Unlock		 修改内存数值 (如移动速度)
Modify memory values
代表 / Examples 一键宏、钓鱼脚本 SOAPBOX-CN (GSE), Honorbuddy 瞬移、飞天
Teleport, Flyhack
能力 / Capability 傻瓜式,易受 UI 干扰 全知全能,无视插件污染
Full automation. Taint bypass.		 破坏规则,极易被秒封
GLOBAL THREAT MONITOR // 全球威胁情报库 LIVE FEED ●
Tinkr (macOS)
HIGH RISK v3.2
Daemonic
MED RISK v1.0
Nilname
HIGH RISK Unk
Project Sylvanas
STABLE v4
TTOC
ACTIVE DE
FR
ACTIVE FR
HWT
MED RISK CN
RD
ACTIVE RU
Wrobot
LEGACY EU
GMR
HIGH RISK NA
Sin-bot
ACTIVE NA
Owl Bots
ACTIVE CN
CONCLUSION // 结案建议

案件启示、打击建议与未来预判 Conclusion, Strategy & Forecast

未来外挂演化趋势:幽灵化
Trend: "Ghosting" & Darker Ops

「剪刀手」的覆灭源于其业余的运营安全。未来黑产将吸取教训: The fall of SOAPBOX-CN was due to amateur OpSec. Future players will learn:

  • 绝对匿名 (OpSec): 全面使用 XMR 加密货币与 Mixers 清洗资金;服务器抗审查部署。
    Full OpSec: Monero (XMR), Mixers, Bulletproof Hosting.
  • 技术黑箱: 客户端自我保护升级 (VMProtect),核心逻辑云端化,内置「远程销毁开关」。
    Technical Blackbox: VMProtect, Cloud logic, Kill-switches.
  • 商业去风险: 框架作者退居幕后,利用「循环作者」分销承担风险。
    Risk buffering: Core devs hide, Script authors take the fall.

延伸打击建议 Extension Strike Strategy

建议实施「点面结合」的清剿战略: Recommended "Point and Area" suppression strategy:

  • 战略一:瓦解技术供应 / Dismantle Supply
    重点追查「循环作者」资金链。他们是流动的雇佣兵,查实一人即可牵出多个外挂团伙。 Trace Script Authors. They are mercenaries connecting multiple platforms.
  • 战略二:打击商业需求 / Demolish Demand
    针对利用外挂代练、直播牟利的工作室,以「非法经营罪」或「侵犯著作权」进行刑事打击,杀一儆百。 Prosecute commercial boosters & streamers for "Illegal Business Ops" to set examples.
刑法 §285

提供侵入、非法控制计算机信息系统程序、工具罪。最高可处七年有期徒刑。
Providing intrusion/control tools for computer systems. Max 7 years.

刑法 §217

侵犯著作权罪。涉及破解软件保护措施及非法复制发行。
Copyright Infringement (Digital Rights circumvention).

刑法 §253

侵犯公民个人信息罪。针对「开盒」人肉搜索行为。
Infringing on Citizens' Personal Information (Doxing).

刑法 §225

非法经营罪。针对利用外挂进行商业牟利(代练 / 工作室)的行为。
Illegal Business Operations (For-profit boosting).