Огляд розслідування
У цьому звіті задокументовано два одночасні OSINT-розслідування різних, але тематично суміжних неонацистських цифрових операцій: неонацистської потокової мережі, що стала наступником GoyimTV, та організації британських націонал-соціалістичних активістів, яка обходить фінансові правила через продаж товарів.
Усі цілі були ідентифіковані за допомогою пасивного перерахування загальнодоступних API, відкритих кінцевих точок WordPress REST, журналів прозорості сертифікатів, метаданих зображень (EXIF/XMP), записів реєстрації домену та історії транзакцій блокчейну. Жодного несанкціонованого доступу не було потрібно.
Передісторія: наступник GoyimTV
Наприкінці жовтня та на початку листопада 2025 року GoyimTV (goyimtv.com) і його супутній сайт розповсюдження рекламних листівок (gtvflyers.com) припинили роботу після розслідування NewsChannel 5 журналіста Філа Вільямса, яке викрило їхню спрямованість на дітей. Протягом трьох днів після ліквідації через same registrar — NiceNIC International Group (Чжухай, Китай) було зареєстровано чотири домени, що встановило відносини прямого правонаступництва.
Мережа керує 88streams.com (платформа для потокового передавання), 88merch.com (магазин WooCommerce "White Power Gear"), 88flyers.com (платформа для розміщення оголошень "Propaganda Center") і 88beats.com (музична платформа, ще неактивна). Інфраструктура потокового передавання надається StreamForge (streamforge.cloud, Південна Африка), білим лейблом SaaS, який рекламує себе як «стійкий до цензури». Вміст подається через BasedFlare CDN, спеціально розроблений, щоб уникнути деплатформування.
Інфраструктура
| Домен | Зареєстрований | Платформа | CDN / Хостинг |
|---|---|---|---|
| 88streams.com | Oct 31, 2025 | ASP.NET Core / SignalR (StreamForge) | BasedFlare (fe-us-3.bfcdn.host) |
| 88merch.com | Nov 3, 2025 | WordPress + WooCommerce | BasedFlare / Fastmail (SPF) |
| 88flyers.com | Nov 1, 2025 | WordPress + HivePress 1.7.22 | BasedFlare / ProtonMail (SPF) |
| 88beats.com | Nov 1, 2025 | Not yet deployed | NiceNIC default DNS |
| streamforge.cloud | — | SaaS provider (South Africa) | Cloudflare |
Усі чотири домени 88* зареєстровано з 31 жовтня по 3 листопада 2025 року через NiceNIC ([email protected]) — того самого реєстратора, що й goyimtv.com.
Усі чотири домени вирішуються через IP-адреси BasedFlare: 104.219.235.22, 172.93.215.129, 38.135.54.232, 104.219.234.42. Внутрішнє кодове ім’я потокової платформи, яке розкривається через конфігурацію OpenID Connect, – "StreamRed."
Кінцева точка справності — відбиток пальця живої системи
GET https://88streams.com/health
{
"status": "healthy",
"version": "1.0.3852+e3d0f9e47d838acb647b3d5aa8d5516b44b4f751",
"buildNumber": "3852",
"startedAt": "2026-02-17T17:58:14Z"
}Кінцева точка працездатності показує повний хеш git commit і номер складання робочого розгортання. Кінцева точка JWKS розкриває ідентифікатор ключа автентифікації та показує, що платформа використовує HS256 (симетричний, слабкий) для підпису JWT.
Атрибуція особи: FLOOD = shop2admin = flood-tribe
Найважливішим висновком цього розслідування є позитивна ідентифікація основного оператора 88Streams/88merch із "FLOOD", членом Blood Tribe (Blutstamm), неонацистської організації, заснованої колишнім морським піхотинцем США Крістофером Полхаусом ("Хаммер").
Два облікові записи користувачів 88merch WordPress — shop2admin (WP ID 1, адміністратор сайту) і flood-tribe (WP ID 98, постачальник) — було підтверджено як одна особа за допомогою метаданих зображень Adobe XMP, вбудованих у їхні завантажені зображення аватарів.
shop2admin і flood-tribe мають ідентичний XMP OriginalDocumentID: xmp.did:cd68f6ef-7911-4908-8a84-7c9626a1003a, що доводить, що їх було створено з одного вихідного файлу GIMP на одному комп’ютері з інтервалом у 8 хвилин. Обидва оброблені за допомогою GIMP 2.10.28 → Adobe Photoshop 26.0 (Windows), підтверджуючи, що один оператор керує обома обліковими записами.Обліковий запис flood-tribe — це магазин 88merch для FLOOD, учасника Blood Tribe із 398 передплатниками на FTJ Media, який проводить щоденні шоу («Napalm in the Morning», «The Doom Depot») і активний на 18 платформах. Безперервна підписка на Adobe Creative Cloud підтверджується версією Photoshop: PS 25.5 (травень 2024) → 25.9 (вересень–жовтень 2024) → 26.0 (квітень–травень 2025) → 26.9 (грудень 2025 – лютий 2026).
FLOOD — крос-платформний цифровий слід
| Платформа | Ідентифікатор / URL |
|---|---|
| FTJ Media | ftjmedia.com/channel/FLOOD (398 subscribers) |
| 88streams | 88streams.com/@Flood |
| 88merch | 88merch.com/store/flood-tribe/ |
| Twitter/X | @OMGitsFlood • @derblutmeister4 ("The Blood Master") |
| Gab | @OMGitsFLOOD |
| @omgitsflood | |
| Telegram | @OMGitsFlood • t.me/FLOODnSHEEEIIT (1,469 subs) • t.me/FloodsLibrary (286) |
| Substack | @flood3 — "The Doom Dispatch" (192 subs) |
| Rumble / DLive / Entropy | rumble.com/user/Flood • dlive.tv/OMGitsFlood |
| Sticker Mule | stickermule.com/flood |
| Blood Tribe website | blutstamm.com |
| Merch store | volkmarket.shop (Summerville, SC) |
Жодна антифашистська дослідницька група станом на лютий 2026 року не ідентифікувала FLOOD.
Фізичне місцезнаходження: Саммервіль, Південна Кароліна
2603:6081:5200:12b8:266e:96ff:fe79:0164) отримує MAC-адресу 24:6E:96:79:01:64, ідентифіковану постачальником як Dell Inc.. Магазин розміщено на комп’ютері Dell, підключеному безпосередньо до місцевого провайдера — ні VPN, ні CDN.Другий географічний індикатор надійшов від KangChirp (канал 88streams Oj8K1aZC6b), який завантажив відео, що показує реальне розповсюдження рекламних листівок на Old Town entertainment complex in Kissimmee, Florida, що відповідає місцезнаходженням реєстранта WHOIS у Флориді для всіх чотирьох доменів 88*.
Blood Tribe — профіль організації
Blood Tribe (Blutstamm) — це американська неонацистська організація, заснована в 2020 році Christopher Pohlhaus («Хаммер»), колишній морський піхотинець США (звільнений з почестями в запас 2009). У липні 2022 року Полхауса сфотографували, як він татуював засновника GDL Йона Мінадео II нацистською символікою, встановлюючи прямий зв’язок між Племенем крові та Лігою захисту гоїв, яка управляла goyimtv.com. Таким чином, мережа 88Streams є прямим наступником цифрової інфраструктури GDL.
Члени Blood Tribe — ралі Літл-Рок, 6 грудня 2025 р. (ідентифіковано 22 із 23)
| Ім'я | Вік | Розташування |
|---|---|---|
| Christopher Pohlhaus | 38 | Louisville, KY (founder) |
| Zachary Platter | 36 | Bloomington, IN |
| Jonathan Wallace | 25 | Wayne City, IL |
| Bruce Sharp | 56 | Ocean City, NJ |
| Paul Gallo | 21 | St. Louis, MO (felony hate crime, IL 2024) |
| Matthew Dwyer | 37 | Oldenburg, IN |
| Bryan Hale | 45 | Springfield, OH |
| Robert Virtue | 36 | Shelby, NC |
| Eric Adam | 29 | Sanford, NC |
| Nicholas Fisher | 34 | Wendell, NC |
| Damon McKee | 26 | Plattsmouth, NE |
| John Miller | 28 | Gallipolis, OH |
| Keith Elflein | 51 | Cincinnati, OH |
| Jonathan Schlosser | 35 | Eau Galle, WI |
| Spencer McChesney | 29 | Odenville, AL |
| Daniel Aspin | 41 | Mount Olivet, KY |
| Parker Burek | 26 | Petoskey, MI |
| Tristan Hudak | 37 | Peyton, CO (relocated AR) |
| Matthew Morgan | 40 | Hickory, NC |
| Charles Miller | 31 | Miamisburg, OH |
| John Burt | 42 | New Buffalo, MI |
| Matthew Etan | 54 | Lakeview, AR |
Джерело: Arkansas Times, грудень 2025 р. Імена опубліковані після публічного мітингу на сайті громадянських прав у Літл-Року.
88Merch — відкритий каталог товарів
API магазину WooCommerce на /wp-json/wc/store/v1/products не потребує автентифікації та повертає повні списки продуктів. Самостійний опис сайту за допомогою WordPress REST API: "White Power Gear." плями зі свастикою були сфотографовані за вісім днів до реєстрації домену 88streams.com.
| Продукт | Ціна | символ |
|---|---|---|
| Red Swastika Flag PVC Patch | $8.88 | Swastika + 888 price coding |
| Red Betsy Ross Swastika PVC Patch | $8.88 | American flag with swastika |
| Sonnenrad Beanie | $25.00 | Black Sun / SS Sonnenrad |
| Celtic Cross Beanie | $25.00 | White supremacist symbol |
| Liftwaffe Beanie | $25.00 | Play on Nazi "Luftwaffe" |
| "Bad Goys" Beanie | $25.00 | Antisemitic term |
| "88" Red / White Beanie | $25.00 | HH = Heil Hitler |
| "Caucasians" Beanie | $25.00 | White identity |
| "Germania" Blanket | $30.00 | Nazi-era Greater Germany name |
Криптовалютні гаманці
| Крипто | Адреса | діяльність |
|---|---|---|
| Bitcoin (SegWit) | bc1q9tegx94q7xfldpmkdrdae4f4a32adzrc09cexk | 3 txns, ~22K sats (Jul 2025 – Feb 2026) |
| Ethereum | 0x05dEE030ebd5f1DBC0a984Db6c619627f1908a19 | 7 txns; funded by Ethermine mining wallet (Sep 2021 – Aug 2022) |
| Monero | 44FLpvACZrERghCEbHJrXRAGJu8vsKtSwRFwQcykSH7qEkkY6pkMatebCtKEyNwTkE1pD... | Privacy coin |
| Litecoin | 1qyk5v9keqaa74rj9trtfya4qpmdplp73u7usk45 | — |
FLOOD майнив Ethereum через Ethermine з вересня 2021 року по серпень 2022 року (до злиття). Гаманець виплат для майнінгу безпосередньо фінансував адресу ETH FLOOD (0x644e3de9c62de67fcd099ee0e8dc68fb85fc5588 → гаманець FLOOD, 11 червня 2023 р.).
Карта підключення до мережі
Збої OPSEC (виявлено 16)
- WordPress REST API відкриває всі облікові записи користувачів на 88merch і 88flyers без автентифікації
- Gravatar SHA-256 hash reveals admin email —
[email protected]зламано за допомогою хешування - Кінцева точка працездатності розкриває повний хеш git commit і номер збірки у робочій версії
- Search API повертає всі канали та відео без автентифікації
- WooCommerce Store API відкриває повний каталог продуктів без автентифікації
- XMLRPC open на 88merch.com і 88flyers.com (груба сила / вектор SSRF)
- Правдоподібна аналітика має
CORS: *— можна запитувати за будь-яким джерелом - Часові мітки камери Android у назвах файлів зображень продуктів показують часову шкалу фотографій
- XMP OriginalDocumentID links shop2admin = flood-tribe — той самий вихідний файл на тому ж комп’ютері
- OIDC JWKS використовує симетричний ключ HS256 — якщо видобути, усі маркери JWT можна підробити
- Повністю доступна медіа-бібліотека 88flyers — пропагандистські PDF-файли з повними метаданими
- Журнали прозорості сертифікатів показують точне замовлення та час покупки домену
- 88beats and 88flyers registered in the same second — пакетну закупівлю підтверджено
- домашня IP-адреса volkmarket.shop розкриває фізичне місцезнаходження (Саммервіль, Южная Кароліна, комп’ютер Dell)
- Записи SPF розкривають постачальників електронної пошти (ProtonMail для 88streams, Fastmail для 88merch)
- Вихідний код StreamForge посилається на шлях міграції з ViewShark із «без втрати даних, без простоїв»
Огляд
Aryan Front, діючи за межами країни як «Білий авангард» і «Англо-кельтське братство», є британською націонал-соціалістичною організацією активістів, яка себе називає «Провідними націонал-соціалістичними активістами Британії». Група управляє aryanfront.com (WordPress + WooCommerce + GiveWP donations) і whitevanguard.com (Wix e-commerce), підтримує канал Telegram із 2861 передплатником і провела задокументовану вуличну акцію протесту у Ворвіку, Великобританія, 7 лютого 2026 року.
Критичні збої OPSEC виявили особу оператора, два активних облікові записи Stripe, усі записи донорів і явне визнання в описах продуктів, що група використовує продажі товарів, щоб обійти фінансові правила Великобританії, які забороняють пряме фінансування ультраправих організацій.
Інфраструктура
| Поле | Значення |
|---|---|
| Domain (primary) | aryanfront.com |
| Registered | December 8, 2025 |
| Registrar | IONOS SE (Fasthosts) |
| Registrant State | Newport, GB (Wales, UK) |
| IP Address | 109.228.34.124 (shared IONOS/Apache) |
| CMS | WordPress, PHP 8.2.30 |
| Theme | "Act Now" (CMSMasters, activism theme) |
| livemail.co.uk (UK provider) | |
| GMT Offset | 0 (UK timezone) |
| Currency | GBP throughout |
| Domain (secondary) | whitevanguard.com (Wix, Site ID: fd9939ce-b1ac-49fb-9f93-72566017924f) |
Позначення оператора: "M Day"
Обидва оператори WordPress (ID адміністратора: 1 та ID admin-2 ID: 4) використовують Apple iPhones, що підтверджено правилами найменування фотографій iOS (Photo-DD-MM-YYYY-HH-MM-SS, IMG_XXXX.mp4, UUID.jpg) і маркерами JFIF Photoshop 3.0 у всіх завантажених зображеннях.
Фінансовий ризик — два рахунки Live Stripe
Записи донорів GiveWP — повністю відкрито
Кінцева точка GiveWP REST API /wp-json/givewp/v3/donations та кінцева точка для кожного донора /wp-json/givewp/v3/donors/{id} повертають усі записи пожертв без автентифікації. 18 donors були перераховані з іменами та сумами. Активними були дві кампанії зі збору коштів:
| Кампанія | Мета | Піднятий | розпочато |
|---|---|---|---|
| Donation Form | £7,000 | £129.06 (1.84%) | Oct 21, 2025 |
| Group Donations | £1,000,000 | £10.00 | Nov 7, 2025 |
Оприлюднення записів про донорів є потенційним порушенням GDPR — особисті дані осіб Великобританії доступні без згоди чи авторизації.
Визнання фінансового обходу
From the "Mug & Group Support" product description (aryanfront.com):
«Через правила, що стосуються пожертвувань і фінансування ультраправих організацій, ми не можемо отримувати прямі фінансові внески. Тому ми запровадили товарну продукцію як альтернативний спосіб підтримки групи».
«50% буде зараховано в фонди групи».
Це пряме визнання того, що продажі товарів використовуються для спрямування коштів ультраправій організації в обхід фінансових правил Великобританії. Юридична відмова від відповідальності на всіх продуктах намагається захистити дистриб’юторів від відповідальності за публічний показ, визнаючи, що таке демонстрування «може становити кримінальні злочини, включаючи (але не обмежуючись) підбурювання...»
whitevanguard.com — Wix Merchandise
Другий магазин електронної комерції на Wix продає одяг під маркою «88» ціною (£28,88, £36,88). На топі «Embrace Struggle» зображено валлійського дракона поруч із фразою «Embrace Struggle» — посилання на Mein Kampf («Моя боротьба») — у поєднанні з реєстрацією WHOIS у Ньюпорті, Уельс, що підтверджує, що оператор є валлійцем.
Мережеві підключення
Telegram-канал Арійського фронту (@WhiteVanguard1, 2861 підписник) підключений до:
- @PatrioticAlternativeOfficial — Патріотична альтернатива Марка Коллетта (Великобританія ультраправі)
- @JackEltis — «Австралійський націонал-соціаліст, Сідней, NSW» (міжнародний)
- @Nationalist13 — NS13, південно-західний Онтаріо, Канада ([email protected])
- @WhiteCanada1 — канадський білий націоналістичний канал
Активність у реальному світі — протест у Ворвіку, 7 лютого 2026 р
П’ять відеофайлів (IMG_4014.mp4 – IMG_4018.mp4) були завантажені на aryanfront.com, в яких задокументовано масковий протест у центрі міста Ворік. На кадрах видно поліцейських Великобританії в куртках підвищеної видимості. На скріншоті, зробленому наступного вечора (8 лютого 2026 р., 21:10:15 UTC), показані матеріали протесту. На задньому плані можна впізнати церкву Святої Марії, Ворік, а також вивіску магазину «Warwick News & Wine». Учасники несуть великий прапор «АРІЙСЬКИЙ ФРОНТ» із символом Коловрат/Зонненрад.
На сайті є дві підтверджені сторінки профілю регіонального відділення: Leicester (востаннє змінено 7 лютого 2026 р.) і Warwick (востаннє змінено 9 лютого 2026 р.).
Raw Data & File Drop
All collected data — API responses, HTML snapshots, image files with metadata, JSON exports, and compiled intelligence reports — is archived on ODINT's data server and available for journalists, researchers, law enforcement, and civil society organizations.
Target 1 — 88Streams Network
Target 2 — Aryan Front / White Vanguard
Методологія та етика OSINT
Усю інформацію в цьому звіті було отримано за допомогою методів пасивної розвідки з відкритим кодом (OSINT): перелік загальнодоступних API, аналіз публічно кешованих веб-сторінок, журналів прозорості сертифікатів, записів про реєстрацію доменів, дослідників блокчейну, вилучення метаданих зображень із загальнодоступних файлів і перехресних посилань на публічно проіндексовані облікові записи соціальних мереж і судові протоколи.
ODINT працює відповідно до опублікованого Ethics Policy. Розслідування проводяться в суспільних інтересах і на підтримку прозорості, дослідження боротьби з екстремізмом і захисту вразливих спільнот. Інформація, що ідентифікує осіб, публікується відповідно до редакційних стандартів ODINT та застосовних винятків у суспільних інтересах.
Звіт завершено: травень 2026 р. Дані розслідування зібрано: лютий–березень 2026 р. Задокументовано три цілі. Необроблені дані доступні на сервері даних ODINT.