Zbulohet një rrjet i koordinuar për shpërndarjen e përmbajtjeve CSAM në rrjetin X

Hulumtuesit nga Alliance4Europe (A4E), një organizatë jofitimprurëse misioni i së cilës është të mbrojë dhe promovojë demokracinë dhe vlerat themelore në Evropë, kanë zbuluar një rrjet të koordinuar (CIB – Sjellje e Koordinuar Joautentike) në platformën X në lidhje me operacione të paligjshme të ndikimit rus, i cili po përhapte përmbajtje të lidhur me abuzimin seksual të fëmijëve (CSAM). Rrjeti rrëmbeu hashtag-e, postoi video eksplicite dhe i ridrejtoi përdoruesit në platforma të tjera, prandaj u quajt “Operacioni X-shfrytëzim”.

Hulumtuesi kryesor i Alliance4Europe, Saman Nazari, raportoi rastin në policinë belge dhe ChildFocus më 18 korrik.

Çfarë është një rrjet CIB?

Këto janë llogari online që shfaqin një model sjelljeje të koordinuar dhe joautentik, shpesh të destinuar për të përhapur përmbajtje ose për të manipuluar audiencën. Për shkak të përdorimit të gjerë të botëve për të komentuar dhe vlerësuar videot, është e vështirë të vlerësohet numri aktual i shikimeve, por disa video kanë marrë më shumë se 20-30 mijë shikime dhe qindra komente joautentike. Hetimi zgjati nga 18 korriku deri më 22 korrik 2025. Megjithatë, provat sugjerojnë se operacioni ka vazhduar që të paktën nga 17 maji. Deri më 28 korrik, Platforma X filloi të reagonte – ajo pezulloi përkohësisht llogaritë më shpejt, futi kufizime moshe dhe pastroi hashtag-et, por nuk e mbylli rrjetin. Llogaritë e reja vazhdojnë të shfaqen me më pak dukshmëri.

“Pasi u verifikua mosha e llogarisë sime kërkimore, përmbajtja CSAM u bë përsëri e disponueshme, duke treguar se problemet themelore – lehtësia e krijimit të llogarisë dhe moderimi joadekuat – nuk ishin adresuar,” tha Nazari.

Analiza e rrjetit CIB

Më shumë se 150 llogari që ndanin përmbajtje video CSAM u zbuluan dhe llogari të reja u krijuan gjatë hetimit. Rrjeti duket se është i drejtuar nga fitimi, ose duke shitur CSAM ose duke i ridrejtuar përdoruesit drejt mashtrimeve të mundshme.

U zbulua se llogaritë funksionojnë automatikisht dhe kanë modele sjelljeje pothuajse identike, por i drejtojnë përdoruesit drejt përmbajtjes së ndryshme. Disa llogari u hakuan, të tjera u krijuan për këtë operacion dhe disa u ripërdorën si llogari spam. Emrat e llogarive tregojnë një zonë të larmishme gjeografike—disa emërtohen vietnamezë, ndërsa të tjerë i ndryshojnë emrat e tyre në anglisht.

Taktikat përfshijnë përmbytje të hashtag-eve specifike, komente automatike që përhapin përmbajtje dhe hashtag-e që shërbejnë si një agregues për përmbajtjen CSAM.

Lidhjet me Telegram, Discord dhe faqet e internetit të dedikuara tregojnë se llogaritë janë pjesë e një rrjeti më të madh që u shërben klientëve të shumtë, ose se rrjete të shumta po përdorin teknika të ngjashme.

Kjo lidhje sugjeron mundësinë e blerjes së llogarive ose ripërdorimit të tyre për këtë qëllim.

Taktikat e rrjetit

Përmbajtja e rrjetit përbëhet nga elementët e mëposhtëm: hashtag-e, tekst, lidhje, përmbajtje video dhe komente.

Llogaritë përdorin 19 hashtag-e specifike që shpesh shoqërohen me terma të tillë si “nënë”, “adoleshentë”, incest dhe pornografi.

Hashtag-et e përdorura mund t’i drejtojnë lehtësisht si fëmijët ashtu edhe të rriturit drejt përmbajtjes së papërshtatshme. Platforma X rekomandon hashtag-e të lidhura, gjë që zgjeron më tej rrjetin.

Shtrirje e gjerë dhe rrezik sistemik

Rrjeti përdor taktika spam-i (“Pëlqe, RT dhe ndiq!”) dhe lidhje me dyqanet CSAM, grupet Telegram dhe Discord, faqet e internetit të rreme dhe burime të tjera të rrezikshme. Një portal ofron anëtarësim në këmbim të pagesës në kriptomonedhë. Fshirja e llogarive individuale nuk e ndalon rrjetin të zgjerohet – postimet e reja vazhdojnë të shfaqen brenda disa minutash.

Problemi sistemik dhe kuadri rregullator

Ky operacion shfrytëzon të njëjtat dobësi që u shfrytëzuan më parë në operacionet e ndikimit rus (si “Doppelganger” dhe “Operacioni Mbingarkesë”): lehtësia e krijimit të llogarisë, moderimi i dobët dhe menaxhimi i dobët i rrezikut. Kjo situatë mund të përbëjë shkelje të neneve 34 dhe 35 të Aktit të Shërbimeve Dixhitale (DSA).

Sipas rekomandimeve të studiuesve, verifikimi më i rreptë i llogarisë (me telefon, vendosja e adresave të email-it në listën e zezë, kufizimi i adresave IP), monitorimi më i mirë i lidhjeve dhe modeleve të sjelljes, dhe zgjidhja sistematike e dobësive, në vend që thjesht të hiqen llogaritë individuale, janë të nevojshme. Edhe pse llogaritë po hiqen, të reja vazhdojnë të shfaqen nën të njëjtat hashtag. Gjatë hetimit, u identifikuan më shumë se 150 llogari të tilla, dhe edhe pse shumica e tyre pezullohen përkohësisht brenda pak orësh, vërshimi i përmbajtjes CSAM nuk ndalet. Për shembull, nën një nga hashtag-et, përmbajtja CSAM postohet çdo 1 deri në 10 minuta, vazhdimisht për tre ditë. Ekzistojnë disa versione të ndryshme të tekstit të përdorur nga këto llogari. Këto versione përmbajnë komponentë të ndryshëm që kombinohen në postime. Një nga frazat që përsëriten më shpesh është: “E di çfarë duhet të bësh – Pëlqe, RT dhe ndiq!” dhe “ZOGËL E di çfarë duhet të bësh – Pëlqe, RT dhe ndiq! “, e kombinuar me hashtagje të ndryshme. Një version tjetër përdor një varg teksti të rastësishëm të ndjekur nga fjala “idea” dhe disa emoji.

Komponenti i tretë përfshin frazën “E pashë këtë”, e ndjekur nga një emoji.

Fraza e katërt më e përdorur është “Shikoje këtë”, e ndjekur nga emoji.

Pothuajse të gjitha postimet përmbajnë vargje të rastësishme numrash dhe/ose shkronjash të shtuara në fund.

Të gjitha postimet përpiqen t’i ridrejtojnë përdoruesit në faqet e internetit ose platformat e komunikimit të jashtme. Llogaritë përdorin video për të tërhequr vëmendjen e audiencës dhe më pas i ridrejtojnë ata në lidhje të jashtme.

Këto lidhje çojnë në: faqet e internetit që shesin dosje me materiale abuzimi seksual me fëmijë (CSAM), llogari dhe grupe në Telegram, si dhe grupe në Discord që ofrojnë qasje në përmbajtjen CSAM, (ndoshta) mjete mashtruese për “hakimin” e llogarive Snapchat, faqet e internetit të takimeve dhe faqet për shkarkimin e mjeteve që duket se janë aplikacione private/të sigurta për biseda, por në të vërtetë shërbejnë për të hyrë në komunitetet që ndajnë CSAM.

Disa nga këto lidhje kujtojnë operacionin e ndikimit rus “Doppelganger”, i cili është i njohur për fshehjen e destinacionit përfundimtar të lidhjeve me ridrejtime, ndërsa të tjerat nuk janë. Edhe pse llogaritë në platformën X që ndanë këto lidhje janë hequr, X nuk i bllokon vetë lidhjet, duke u lejuar sulmuesve të vazhdojnë të përhapin përmbajtje duke përdorur llogari të tjera, të arritshme një herë.

Një nga profilet e promovuara shumë ofron qasje në paketa përmbajtjeje CSAM për shitje. Uebsajti është i vendosur pas Cloudflare, duke e bërë të pamundur gjurmimin e ofruesit të strehimit ose pronarit në këtë fazë. Nevojiten hetime të mëtejshme për të përcaktuar nëse faqet e jashtme janë të lidhura disi me njëra-tjetrën dhe nëse ato janë disi “të dukshme” për dikë që e di se çfarë të kërkojë. Për shembull, anëtarësimi në një bisedë private mund të jetë një parakusht për transferimin e përmbajtjes nga grupet e Telegramit. Përmbajtja e videos

Llogaritë shpesh ndajnë të njëjtat video brenda një periudhe të caktuar kohore. Me fjalë të tjera, duket se shfaqen valë videosh të ndryshme në të njëjtën kohë. Videot tregojnë fëmijë, duke filluar nga fëmijët e vegjël deri te adoleshentët, të cilët abuzohen seksualisht, përdhunohen ose ekspozohen ndryshe. Disa video kanë një markë tregtare që i referohet lidhjes që po përpiqen të përforcojnë. Disa video kanë komente poshtë tyre që tregojnë gjithashtu lista videosh.

Brenda sekondave pasi një llogari poston postimin origjinal, shumë llogari të tjera fillojnë ta përmbytin atë me komente. Komentet ose përmbajnë lidhje me faqet e internetit ose kanalet e Telegram që shesin materiale abuzimi seksual me fëmijë, ose tekst që i nxit përdoruesit të shikojnë “përmbajtje adoleshentësh” në profilet e tyre duke përdorur një font të veçantë. Edhe pse komentet shënohen automatikisht si spam, postimet ende shfaqen si përmbajtje “kryesore” nën hashtag-et që synojnë, me sa duket për shkak të këtij vërshimi komentesh.

Llogaritë

Ndërsa duket se ka llogari boshe të përdorura vetëm për këtë qëllim, ka edhe llogari spam dhe llogari të hakuara që janë shfrytëzuar qartë.

Spam

Disa llogari duket se janë llogari spam gjenerike me përmbajtje të tilla si reklama kriptomonedhash dhe më pas përmbajtje CSAM. Kjo sugjeron që këto llogari spam mund të përdoren si një shërbim fitimprurës ku njerëzit paguajnë për të postuar përmbajtje të pamoderuar. Nëse konfirmohet, kjo do të përfaqësonte një rrezik sistemik të konsiderueshëm dhe të pakontrolluar.

Disa llogari të tjera spam postojnë artikuj të rastësishëm me përshkrime që ka të ngjarë të gjenerohen automatikisht.

Llogaritë spam të vëzhguara shpesh u krijuan vitin e kaluar, midis marsit dhe qershorit 2025, dhe zakonisht kanë një numër të vogël ndjekësish (diapazoni i vëzhguar: 0 deri në 32) dhe llogari që ndjekin (diapazoni i vëzhguar: 0 deri në 35).

Analiza shqyrtoi llogaritë spam me emra që tingëllojnë perëndimorë si Linda Jones, Maria Green dhe Elizabeth Brown. Ato kanë shumë pak ndjekës dhe ndjekin shumë pak llogari (midis 0 dhe 5).

Llogaritë “perëndimore” përmbajnë lidhje që çojnë në një faqe që fton njerëzit të bashkohen me serverin Discord CSAM. Lidhjet Discord nga llogaritë “perëndimore” çojnë në faqet e internetit që përmbajnë kod të dëmshëm.

Megjithatë, llogari të tjera me emra me origjinë të paqartë duket se çojnë në serverë të vërtetë Discord. Njëra prej tyre përdor një emër shumë të qartë.

Një grup tjetër llogarish të padëshiruara ka emra vietnamezë. Ato kanë një numër pak më të madh ndjekësish (nga 1 deri në 30) dhe ndjekin më shumë llogari (nga 13 deri në 35). Llogaritë vietnameze ofrojnë lidhje me faqe të ndryshme interneti: CPteen.pages.dev, një faqe interneti reale dhe aktive me përmbajtje CSAM; kanale të ndryshme Telegram që lidhen me përmbajtjen CSAM, të tilla si “Dirtybox”, “Flamefolder”, “XStore” dhe “Snapchat hack”.

Llogari të hakuara

Duket se disa llogari kishin qenë joaktive për një kohë të gjatë dhe treguan sjellje të vërtetë përpara se të përdoreshin për të shpërndarë përmbajtje CSAM, ndonjëherë pas vitesh pasiviteti.

Postimet pornografike zakonisht ndahen njëra pas tjetrës me një vazhdimësi të shpejtë. Është shqetësuese që disa llogari të hakuara mbajnë fotografi profili të njerëzve të vërtetë.

Llogari që ndjekin llogari të tjera

Shumë llogari, veçanërisht ato me fotografi profili të vajzave aziatike, ndjekin llogari të tjera të ngjashme të padëshiruara. Llogaria “Dang” më poshtë është një shembull i mirë i këtij modeli, i cili është shumë i përhapur.

Si llogaria që poston CSAM ashtu edhe llogaritë që e ndjekin atë postojnë komente që duken si citime të ndjekura nga emra të rastësishëm. Vlen të përmendet se llogaritë që ndjekin llogarinë pornografike nuk postojnë përmbajtje CSAM. Hetimi u krye midis 18 dhe 22 korrikut 2025. Megjithatë, studiuesit gjetën prova se operacioni kishte qenë në zhvillim e sipër që të paktën nga 17 maji. Gjatë kësaj periudhe, megjithëse nuk është e mundur të llogaritet numri i saktë, numri i postimeve vlerësohet të jetë në miliona dhe operacioni në përgjithësi u zhvillua pa ndërprerje të mëdha.

Që nga 28 korriku, X ka hequr pjesë individuale të përmbajtjes më shpejt. Edhe pse kjo ka ulur intensitetin e operacionit, aktiviteti nuk është ndalur. Më 29 korrik, u zbulua gjithashtu se sistemi i verifikimit të moshës i X kishte filluar të kufizonte aksesin e përdoruesve në përmbajtje, duke parandaluar llogaritë e komentuesve (pjesë e rrjetit CIB) të promovonin përmbajtje. Kjo e bëri rrëmbimin e hashtag-eve disi më të vështirë, por nuk e ndaloi atë plotësisht.

Në fillim, dukej sikur X po i përgjigjej operacionit CSAM (koha e shkurtuar e heqjes së përmbajtjes dhe fshirja e rregullt e hashtagjeve e tregonin këtë).

Megjithatë, pasi u verifikua mosha e llogarisë së studiuesit, përmbajtja CSAM u bë përsëri e disponueshme dhe operacioni rifilloi me fuqi të plotë. Disa nga masat e marra nga X lidhen qartë me politikën e re të kufizimit të moshës.

Në fakt, duket se qasja e X bazohet në zbatimin e një politike të verifikimit të moshës për të mbrojtur përmbajtjen e ndjeshme nga llogaritë nën moshën 18 vjeç. Kjo përfaqëson një devijim nga përgjigjja fillestare e platformës ndaj operacionit, kur X pezulloi përkohësisht llogaritë, gjoja për shkelje të rregullave të platformës.

Zbatimi i një politike të verifikimit të moshës do të thotë që X verifikon automatikisht dhe në mënyrë proaktive moshën e përdoruesve të saj.

Kjo masë e verifikimit të moshës është qartë një përgjigje ndaj nevojës së re për pajtueshmëri me Kodin Irlandez të Sigurisë së Internetit dhe Aktin e Sigurisë së Internetit të Mbretërisë së Bashkuar, të cilat përfshijnë dispozita për mbrojtjen e moshës për të parandaluar të miturit nga qasja në përmbajtje të dëmshme, duke përfshirë përmbajtje pornografike dhe të dhunshme. Rregullatori irlandez i medias iu përgjigj X më 24 korrik në lidhje me këtë çështje. Si të tilla, këto masa nuk janë specifike për CSAM-in, as nuk adresojnë në mënyrë sistematike çështjet teknike themelore, siç janë bllokimi i URL-ve, hashtag-et dhe lehtësia e krijimit të llogarive të rreme. Një përditësim pas 6 gushtit tregoi se studiuesit ishin në gjendje të konfirmonin që llogaritë e verifikuara sipas moshës mund të kishin ende qasje në përmbajtje. Operacioni vazhdon të funksionojë në një mënyrë të ngjashme me hetimin origjinal dhe arrin dhjetëra mijëra përdorues./The Geopost/