Redes Digitales Neonazis

Descripción general de la investigación

Este informe documenta dos investigaciones simultáneas de OSINT sobre operaciones digitales neonazis distintas pero temáticamente adyacentes: una red de streaming neonazi sucesora de GoyimTV, y una organización activista nacionalsocialista británica que elude las regulaciones financieras a través de la venta de mercancías.

Todos los objetivos se identificaron mediante una enumeración pasiva de API de acceso público, puntos finales REST de WordPress expuestos, registros de transparencia de certificados, metadatos de imágenes (EXIF/XMP), registros de registro de dominio e historial de transacciones de blockchain. No se requirió ningún acceso no autorizado.

Antecedentes: sucesor de GoyimTV

A finales de octubre y principios de noviembre de 2025, GoyimTV (goyimtv.com) y su sitio de distribución de folletos complementario (gtvflyers.com) se desconectaron luego de una investigación de NewsChannel 5 realizada por el periodista Phil Williams que expuso su ataque a niños. A los tres días de la eliminación, se registraron cuatro dominios a través de same registrar (NiceNIC International Group (Zhuhai, China), estableciendo una relación de sucesión directa.

La red opera 88streams.com (plataforma de transmisión), 88merch.com (tienda WooCommerce "White Power Gear"), 88flyers.com (plataforma de listado "Propaganda Center") y 88beats.com (plataforma de música, aún no activa). La infraestructura de streaming la proporciona StreamForge (streamforge.cloud, Sudáfrica), un SaaS de marca blanca que se promociona como "resistente a la censura". El contenido se sirve a través de BasedFlare CDN, diseñado específicamente para evitar la eliminación de la plataforma.

Infraestructura

Los cuatro dominios 88* se registraron del 31 de octubre al 3 de noviembre de 2025 a través de NiceNIC ([email protected]), el mismo registrador que goyimtv.com.

Los cuatro dominios se resuelven a través de IP de BasedFlare: 104.219.235.22, 172.93.215.129, 38.135.54.232, 104.219.234.42. El nombre en clave interno de la plataforma de transmisión, revelado a través de la configuración de OpenID Connect, es "StreamRed."

Punto final de salud: huella digital del sistema en vivo

GET https://88streams.com/health
{
  "status": "healthy",
  "version": "1.0.3852+e3d0f9e47d838acb647b3d5aa8d5516b44b4f751",
  "buildNumber": "3852",
  "startedAt": "2026-02-17T17:58:14Z"
}

El punto final de salud expone el hash de confirmación de git completo y el número de compilación de la implementación de producción. El punto final JWKS expone el ID de la clave de autenticación y revela que la plataforma usa HS256 (simétrico, débil) para la firma JWT.

Atribución de identidad: FLOOD = shop2admin = Flood-tribe

El hallazgo más significativo de esta investigación es la identificación positiva del operador principal de 88Streams/88merch con "FLOOD", miembro de Blood Tribe (Blutstamm), la organización neonazi fundada por el ex marine estadounidense Christopher Pohlhaus ("Hammer").

Se confirmó que dos cuentas de usuario de WordPress de 88merch, shop2admin (WP ID 1, administrador del sitio) y flood-tribe (WP ID 98, proveedor), eran la misma persona a través de metadatos de imágenes Adobe XMP incrustados en sus imágenes de avatar cargadas.

La cuenta flood-tribe es la tienda 88merch de FLOOD, un miembro de Blood Tribe con 398 suscriptores en FTJ Media que presenta programas diarios ("Napalm in the Morning", "The Doom Depot") y está activo en 18 plataformas. Se confirma una suscripción continua a Adobe Creative Cloud a partir de las progresiones de la versión de Photoshop: PS 25.5 (mayo de 2024) → 25.9 (septiembre-octubre de 2024) → 26.0 (abril-mayo de 2025) → 26.9 (diciembre de 2025 - febrero de 2026).

FLOOD: huella digital multiplataforma

FLOOD no ha sido identificado públicamente por ningún grupo de investigación antifascista hasta febrero de 2026.

Ubicación física: Summerville, Carolina del Sur

Un segundo indicador geográfico proviene de KangChirp (canal de 88streams Oj8K1aZC6b), quien subió videos que muestran la distribución de folletos en el mundo real en Old Town entertainment complex in Kissimmee, Florida, coincidiendo con la ubicación del registrante de WHOIS de Florida de los cuatro dominios 88*.

Tribu Sangre - Perfil de la organización

Blood Tribe (Blutstamm) es una organización neonazi estadounidense fundada en 2020 por Christopher Pohlhaus ("Hammer"), un ex marine estadounidense (licenciado con honores en 2009). Pohlhaus fue fotografiado tatuando al fundador de GDL, Jon Minadeo II, con símbolos nazis en julio de 2022, estableciendo un vínculo directo entre Blood Tribe y la Liga de Defensa Goyim, que operaba goyimtv.com. Por lo tanto, la red 88Streams es un sucesor operativo directo de la infraestructura digital de GDL.

Miembros de la Tribu Sangre: Rally de Little Rock, 6 de diciembre de 2025 (22 de 23 identificados)

Fuente: Arkansas Times, diciembre de 2025. Nombres publicados después de su manifestación pública en un sitio de derechos civiles de Little Rock.

88Merch — Catálogo de productos expuestos

La API de la tienda WooCommerce en /wp-json/wc/store/v1/products no requiere autenticación y devuelve listas completas de productos. La autodescripción del sitio a través de la API REST de WordPress es "White Power Gear.". Los parches de la esvástica fueron fotografiados ocho días antes de que se registrara el dominio 88streams.com.

Carteras de criptomonedas

FLOOD estuvo extrayendo Ethereum a través de Ethermine desde septiembre de 2021 hasta agosto de 2022 (antes de la fusión). La billetera de pagos de minería financió directamente la dirección ETH de FLOOD (0x644e3de9c62de67fcd099ee0e8dc68fb85fc5588 → billetera de FLOOD, 11 de junio de 2023).

Mapa de conexión de red

Fallas de OPSEC (16 identificadas)

• La API REST de WordPress expone todas las cuentas de usuario en 88merch y 88flyers sin autenticación
• Gravatar SHA-256 hash reveals admin email — [email protected] descifrado mediante inversión de hash
• El punto final de salud expone el hash completo de confirmación de git y el número de compilación en producción
• La API de búsqueda devuelve todos los canales y vídeos sin autenticación
• La API de la tienda WooCommerce expone el catálogo completo de productos sin autenticación
• XMLRPC open tanto en 88merch.com como en 88flyers.com (fuerza bruta/vector SSRF)
• Los análisis plausibles tienen CORS: *: consultable por cualquier origen
• Las marcas de tiempo de la cámara de Android en los nombres de archivos de imágenes de productos revelan la línea de tiempo de la fotografía
• XMP OriginalDocumentID links shop2admin = flood-tribe — mismo archivo fuente en la misma computadora
• OIDC JWKS utiliza una clave simétrica HS256; si se extraen, todos los tokens JWT son falsificables
• Biblioteca multimedia de 88flyers totalmente accesible: archivos PDF de propaganda con metadatos completos
• Los registros de transparencia de certificados revelan el momento y el orden exacto de compra de dominios
• 88beats and 88flyers registered in the same second — compra por lotes confirmada
• La IP residencial de volkmarket.shop expone la ubicación física (Summerville, SC, computadora Dell)
• Los registros SPF revelan proveedores de correo electrónico (ProtonMail para 88streams, Fastmail para 88merch)
• El código fuente de StreamForge hace referencia a la ruta de migración desde ViewShark sin "pérdida de datos, sin tiempo de inactividad"

Descripción general

Aryan Front, que opera externamente como "Vanguardia Blanca" y "Hermandad Anglo-Celta", es una organización activista nacionalsocialista británica que se describe a sí misma como "los principales activistas nacionalsocialistas de Gran Bretaña". El grupo opera aryanfront.com (donaciones de WordPress + WooCommerce + GiveWP) y whitevanguard.com (comercio electrónico Wix), mantiene un canal de Telegram con 2.861 suscriptores y llevó a cabo una protesta callejera documentada en Warwick, Reino Unido, el 7 de febrero de 2026.

Las fallas críticas de OPSEC expusieron la identidad del operador, dos cuentas reales de Stripe, todos los registros de donantes y una admisión explícita en las descripciones de los productos de que el grupo está utilizando las ventas de mercancías para eludir las regulaciones financieras del Reino Unido que prohíben la financiación directa de organizaciones de extrema derecha.

Infraestructura

Atribución del operador: "Día M"

Ambos operadores de WordPress (ID de administrador: 1 y ID de administrador-2: 4) usan Apple iPhones, confirmado por las convenciones de nomenclatura de fotografías de iOS (Photo-DD-MM-YYYY-HH-MM-SS, IMG_XXXX.mp4, UUID.jpg) y marcadores JFIF de Photoshop 3.0 en todas las imágenes cargadas.

Exposición financiera: dos cuentas Live Stripe

Registros de donantes de GiveWP: completamente expuestos

El punto final de la API REST de GiveWP /wp-json/givewp/v3/donations y el punto final por donante /wp-json/givewp/v3/donors/{id} devuelven todos los registros de donación sin autenticación. 18 donors fueron enumerados con nombres y montos. Estuvieron activas dos campañas de recaudación de fondos:

La exposición de los registros de los donantes constituye una posible violación del RGPD: se puede acceder a los datos personales de personas del Reino Unido sin consentimiento o autorización.

Admisión de elusión financiera

Se trata de una admisión directa de que las ventas de mercancías se están utilizando para desviar fondos a una organización de extrema derecha, eludiendo las regulaciones financieras del Reino Unido. Un descargo de responsabilidad legal en todos los productos intenta proteger a los distribuidores de la responsabilidad por la exhibición pública, reconociendo que dicha exhibición "puede constituir delitos penales, incluida (pero no limitada a) la incitación..."

whitevanguard.com — Mercancía de Wix

Una segunda tienda de comercio electrónico en Wix vende ropa con la marca "88" (£ 28,88, £ 36,88). La camiseta de gimnasio "Embrace Struggle" presenta un dragón galés junto con la frase "Embrace Struggle", una referencia a Mein Kampf ("My Struggle"), combinada con el registro WHOIS de Newport, Gales, lo que establece que el operador es galés.

Conexiones de red

El canal Telegram de Aryan Front (@WhiteVanguard1, 2.861 suscriptores) está conectado a:

• @PatrioticAlternativeOfficial — Alternativa patriótica de Mark Collett (extrema derecha del Reino Unido)
• @JackEltis — "Nacionalsocialista australiano, Sydney NSW" (internacional)
• @Nationalist13 — NS13, suroeste de Ontario, Canadá ([email protected])
• @WhiteCanada1 — Canal nacionalista blanco canadiense

Activismo en el mundo real: protesta en Warwick, 7 de febrero de 2026

Se cargaron cinco archivos de vídeo (IMG_4014.mp4 a IMG_4018.mp4) en aryanfront.com que documentan una protesta enmascarada en el centro de la ciudad de Warwick. En las imágenes se ven agentes de policía del Reino Unido con chaquetas de alta visibilidad. Una captura de pantalla tomada la noche siguiente (8 de febrero de 2026, 21:10:15 UTC) muestra los materiales de la protesta. La iglesia de Santa María, Warwick, se puede identificar al fondo, junto con un letrero de la tienda "Warwick News & Wine". Los participantes portan una gran pancarta que dice "FRENTE ARIO" con el símbolo de Kolovrat/Sonnenrad.

El sitio tiene dos páginas de perfil de capítulo regional confirmadas: Leicester (última modificación el 7 de febrero de 2026) y Warwick (última modificación el 9 de febrero de 2026).

Raw Data & File Drop

All collected data — API responses, HTML snapshots, image files with metadata, JSON exports, and compiled intelligence reports — is archived on ODINT's data server and available for journalists, researchers, law enforcement, and civil society organizations.

Target 1 — 88Streams Network

Target 2 — Aryan Front / White Vanguard