惡意軟體測試服務AVCheck遭瓦解後，荷蘭警方逮捕疑似實際營運者

多國執法單位在2025年中旬瓦解惡意軟體測試服務AVCheck後，近期出現新進展。資安媒體Hackread引述執法單位消息指出，荷蘭警方本月在阿姆斯特丹逮捕33歲荷蘭籍男子，疑似為AVCheck實際營運者。

另依荷蘭檢察署Openbaar Ministerie發布的官方聲明，該名嫌犯涉嫌長期營運一項支援網路犯罪的線上服務，內容包括協助測試惡意軟體是否能避開防毒軟體偵測的測試功能，並被認為與AVCheck平臺的實際營運有關，相關調查目前仍在進行中。

AVCheck在網路犯罪中的角色

荷蘭警方說明，AVCheck屬於所謂的「反防毒測試服務（Counter Antivirus，CAV）」，主要供惡意軟體開發者測試其程式是否會被主流防毒產品偵測。使用者可將惡意程式樣本上傳至平臺，比對多款防毒引擎的掃描結果，再依據回饋內容調整程式碼，以降低被攔截的機率。

這類服務常被用於勒索軟體、木馬程式等惡意程式的開發過程，屬於攻擊前的準備環節。透過反覆測試與修改，攻擊者可提高惡意程式在實際攻擊中成功取得初始存取權限的機率，使AVCheck成為網路犯罪即服務生態系中的關鍵基礎服務之一。

警方指出，也正因為這類平臺能協助惡意程式避開防護機制，才成為執法單位優先鎖定的目標。相較於在攻擊發生後才進行應變，從源頭打擊這類支援型服務，更有助於降低後續實際攻擊事件的發生風險。

AVCheck相較於同樣提供檔案分析的病毒掃描服務VirusTotal，有何差異？VirusTotal是合法資安分析平臺，主要服務對象是資安研究人員與企業資安團隊，過去曾被惡意軟體開發者採用，測試其檔案是否能被防毒引擎偵測，但對攻擊者而言，VirusTotal過於公開且對防守方友善，目的是共享情資、強化集體防禦，攻擊者若將檔案上傳至此進行驗證，等於主動把樣本送給全世界的防禦方，而AVCheck是為惡意軟體開發者量身打造的工具，不共享樣本、不回饋給防毒廠商、不留下可追蹤紀錄，攻擊者可以「放心」在此調整，而非幫防守方練功。

從關閉服務到追究營運責任

荷蘭警方強調，此次行動的重點不僅在於下架單一平臺，而是進一步釐清其營運模式、資金流向與使用者網絡。警方在前次取締行動中已蒐集到大量數位證據，目前正持續分析，並不排除擴大追查其他涉案人員或關聯服務。

執法單位指出，若僅止於關閉服務，類似平臺往往能以不同形式快速重現，因此同步鎖定營運者與其背後的組織結構，才能對地下產業形成實質嚇阻效果。

Operation Endgame下的供應鏈打擊策略

警方也說明，AVCheck案件是跨國執法行動Operation Endgame的一環。該行動由多國執法機關合作推動，鎖定支撐網路犯罪生態系的關鍵基礎服務，包括惡意程式的測試、加殼、加密與散布等環節，藉此從供應鏈層面削弱地下產業的運作能力。

警方指出，這類針對上游服務的執法策略，目標是在惡意程式尚未大規模散布前即介入處理，降低後續攻擊對企業與組織造成的實際衝擊。