非法控制100多万台电脑，“挖矿”两年，获利1500万

通过计算机运算获取数字货币的过程叫做"挖矿"。一犯罪团伙非法控制超过一百万台电脑进行挖矿，所得数字货币兑换成人民币，九名嫌疑人已被批捕。这类犯罪行为被称为非法控制计算机信息系统罪。

"游戏外挂"是一种作弊工具，备受玩家欢迎。外挂不仅能帮助作弊，还可以进行"挖矿"，甚至是操控他人电脑进行犯罪活动。

贺翔成是一位"外挂高手"，在网络上以其独特的生存技巧著称。他在网络游戏中安装恶意程序，通过收集数据交换虚拟币来谋生。

"挖矿"是指通过大量计算机运算获取数字货币的行为。它是犯罪分子通过非法控制他人的计算机信息系统进行的一种犯罪行为。

具体的挖矿过程如下：犯罪分子首先将其开发的外挂程序（即木马程序）安装到性能强大的目标电脑上，如网吧电脑。一旦电脑开机，这些外挂程序就会在后台自动运行并不断升级，犯罪分子乘机寻找特定数据值进行数据收集。找到特定数据值后，犯罪分子可以获得虚拟币作为奖励。

虚拟币矿池是一个集中的开采平台，可以根据每个参与者的贡献计算出他们的奖励。一般而言，虚拟币矿池建立在犯罪分子的个人电脑服务器上，它不仅可以集结多个参与者的计算能力，提高比特币等虚拟币的开采稳定性，还能保证参与者稳定的收入。当参与者的虚拟币达到一定数量时，就可以提取并兑换成人民币，从而实现非法盈利。

贺翔成因为他的"挖矿"行为声名远扬，担任"天下网吧论坛"的版主和晟平公司迅推平台的大客户经理等职务。然而，网络带来的财富也让他的生活充满了不确定因素。现在，他的梦想已经破灭，只剩下罪恶。

8月3日，山东省青州市检察院批准逮捕贺翔成及其同伙贾峰、励芸等九名嫌疑人。自2015年以来，该团伙非法控制了389万台电脑和100多万台挖矿电脑，非法盈利一千五百万元。这是山东省检察机关办理的第一起利用木马程序非法控制他人计算机信息系统，通过"挖矿"获取收益的新型犯罪案件。

犯罪嫌疑人被成功抓捕归案。

从"论坛版主"揭开"冰山一角"

贺翔成是怎么引起警方注意的呢? 原来，腾讯公司的安全团队检测到了一款包含恶意程序的游戏外挂程序，这就是贺翔成开发的"绝地求生"外挂程序。他与其他人员合作，利用这个外挂程序非法控制了607台电脑进行"挖矿"，直到案发，该恶意程序已经感染了数十万台用户的电脑。

腾讯公司的网络安全人员表示，用户一旦下载了"绝地求生"这款游戏外挂程序，电脑就会被植入恶意程序。"杀毒软件不断升级，恶意程序也会不断升级。真是'道高一尺，魔高一丈'!" 办案检察官赵树芬感慨道。

赵树芬介绍，这款恶意程序会自动检测电脑的使用状况，在cpu使用率在一定范围内的时候自动启动，在后台默默地进行"挖矿"。电脑的使用者通常不会察觉到这一点。这种行为对计算机CPU、GPU资源和电力资源消耗非常大。那么，贺翔成为何能够如此精通计算机，并且一直悄悄地进行"挖矿"呢? 一系列的问题困扰着办案检察官。

事情需要追溯到三年前。当时32岁的贺翔成是当地一家网吧的管理员。一次偶然的机会，他成为了"天下网吧"论坛的版主。贺翔成利用版主的身份建立了多个外挂讨论群，不仅在群文件中共享外挂程序，而且还悄悄地将含有恶意程序的外挂程序上传到"天下网吧"论坛供网民下载。此外，他还利用恶意程序给电脑用户投放广告弹窗，以此获取广告收益。每有一千个用户点击广告，贺翔成就能获得几毛钱的收益。虽然每一次收益都很小，但长时间累积起来也不容忽视。

不久之后，贺翔成成功开发出了名为"绝地求生"等新游戏的外挂程序，具有"自动瞄准"、"透视"、"子弹加速"、"子弹跟踪"等功能，通过社交媒体群和论坛宣传，并供网民免费下载，迅速积累了大量的用户。

随着业务的发展，贺翔成开始不满意于"小打小闹"。喜欢研究的他仿制了"爱奇艺"，编写了酷艺VIP影视服务端和客户端，并在全国范围内发展了60多个代理商，以年卡、月卡等方式向全国网吧销售。案发时，贺翔成已经向全国2465家网吧卖出了5774张年卡、282张季卡、116张半年卡和3285张月卡，非法盈利二十多万元。

除此之外，贺翔成还有一个重要的身份，那就是58迅推平台的大客户经理。他利用58迅推的增值客户端控制了三万台以上的网吧主机，非法盈利26.8万元。

2017年10月以来，贺翔成对58迅推的增值客户端和挖矿程序进行了修改，内置了自己的HSR（红烧肉币）钱包地址。一旦挖矿主机挖到矿币，矿币就会自动转移到贺翔成的HSR钱包中。案发时，他已经挖取了8552枚币（最高价值252元/枚，目前市值42元/枚）。

嫌疑人被成功抓捕归案。

顺藤摸瓜找出"幕后老板"

58迅推增值联盟的背后是一家公司--晟平公司。这家公司成立于2014年，位于大连市甘井子区。公司旗下的两个网站分别是迅推和速推。这两个网站各有侧重，迅推主要负责广告增值和云增值（即"挖矿"，即挖掘虚拟货币）；速推则专注于手机应用程序。

2014年试运行后，公司幕后控制人贾峰指示公司副总兼运营主管张焕亮组建所谓的"研发"团队，即先开发挖矿监控软件，然后集成挖矿程序。很快，该公司形成了以闫石为技术主管，以赵乐乐、丛宁一、彭立山等人为技术骨干的研发团队，将找到的挖矿程序进行完善，制作成"EXE"恶意程序。研发成功的程序交给测试部门进行测试，一旦测试成功就投入到公司的迅推客户端平台上，然后再由郭宜杰、费林洋等客户服务部门的员工通过客服、QQ等方式在市场上进行推广。客户服务部门承担"发展下线并指导使用"的双重任务，在推广过程中成功吸引了不少下线。

贺翔成和其他下线从迅推平台下载增值客户端程序后，通过多种途径将增值客户端非法植入到网吧主机中，并静默下载挖矿监控软件和挖矿程序运行。挖到的虚拟货币会转移到贺翔成等人的虚拟货币钱包中，由公司财务主管励芸随时变现提取，并按照控制的终端数量向代理发放提成。这些虚拟货币主要包括DGB（极特币）、XMR（门罗币）、Zcash（零币）等种类。案发时，该团伙成员非法控制了389万台电脑主机进行广告增值收益，在100万台电脑主机上静默安装了挖矿程序，两年内共挖取了2600多万枚DGB（极特币）。这些虚拟货币大多已经被出售，嫌疑犯共非法盈利一千五百万元。

下线纷纷被捕

除了贺翔成之外，杜良晖、张数、高曰然也是发展速度较快的几个"下线"之一。

33岁的广东佛山人杜良晖是晟平公司成立初期的客户，可以说是资深"员工"。他从迅推网页上下载了晟平公司提供的一款EXE格式的客户端程序，并将这个软件编辑到他自己编写的一个消除网吧广告的小软件中。这样，在消除其他广告的同时，还可以接收晟平公司的广告。杜良晖还将这个软件分享给了一个网管QQ群，让其他的朋友帮忙推广。很多网友觉得这个软件很好用，就自行下载安装到了网吧系统中。此时，邪恶的黑手已经伸向了这些网吧。就这样，杜良晖利用了网吧维护人员的身份，将迅推网站"推广"的"EXE"恶意程序静默式植入了网吧电脑中，案发时已经非法控制了9495台计算机进行"挖矿"，盈利了一百多万元。

36岁的黑龙江青年张数和他的同乡好友高曰然也在"挖矿"的前线忙碌着，他们和贾峰形成了"铁三角"。早在2014年，贾峰就已经认识了张数，那时