FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

十余年来，俄罗斯市场（Russian Market）始终是网络犯罪地下世界的支柱，这个庞大的黑市每天交易着成千上万的数字身份信息、浏览器Cookies和远程访问凭证。当Genesis Market等竞争对手相继被执法部门取缔时，该平台却始终屹立不倒。如今，Intrinsec发布的最新调查报告揭开了这个匿名平台的面纱，将其基础设施与代号"Fly"的长期威胁行为者联系起来。

这份发布于2025年12月的报告详细披露了历史域名注册记录、加密货币交易轨迹和数字取证证据构成的复杂网络，证实"Fly"（又名"Flyded"）与该市场的创建存在直接关联。

十年不倒的地下帝国

俄罗斯市场以其惊人的持久性独树一帜。"该市场自2014年活跃至今，交易量不断攀升，高峰期每周可售出约6万条全球各地的数据日志"。尽管臭名昭著，其幕后掌控者的真实身份始终成谜——直到本次调查取得突破。

Intrinsec研究人员追溯至该平台最早的推广活动，发现名为"Fly"的用户在其初期崛起中扮演了关键角色。"虽然无法百分百确认'FLY'是俄罗斯市场的管理员，但可以确定他与平台存在关联，且是首个使用'FLYDED'用户名公开推广该市场的用户——这个名称正是俄罗斯市场的前身"。

该用户在网络犯罪论坛和Telegram频道活跃长达十年，其非法访问凭证的买卖活动与市场发展轨迹高度同步。

数字取证突破

调查人员对市场老化的基础设施进行了深度取证分析。通过查询flyded[.]com和russianmarket[.]gs等域名的历史Whois记录，研究人员发现了关键邮箱地址：TimeToHardWork[@]outlook.com和Verybigman[@]yahoo.com。

这些标识符为追踪运营者历史提供了罕见线索。TimeToHardWork邮箱出现在已倒闭的加密货币交易所BTC-E的数据泄露事件中，该交易所因洗钱活动而臭名昭著。"BTC-E曾是主要服务俄罗斯用户的加密货币交易平台，其资金在FSB控制下被用于顿巴斯战争"。

最引人注目的发现是2015年名为SystemInfoUtility.exe的恶意软件样本。研究人员将该文件与俄罗斯市场域名关联的邮箱地址联系起来。这个可执行文件似乎是"窃密程序的雏形"，设计用于收集系统信息并篡改Windows文件以实现多路RDP（远程桌面协议）会话。在文件元数据和关联账户中，研究人员发现了一个可能的真实身份："Alex Aske"。

"2018年发现的具有窃密功能的恶意文件同样关联这些邮箱和名为'AlexAske'的用户"。虽然可能是化名，但关联邮箱的Google+个人资料显示，这是一位在俄罗斯市场形成期活跃的俄籍开发者。

区块链上的铁证

"Fly"与俄罗斯市场帝国最确凿的联系存在于区块链上。Intrinsec绘制了市场的支付基础设施图谱，发现其采用复杂的"节点"系统清洗入账资金。通过交易分析，研究人员确认"Fly"在Telegram上公开分享的钱包地址直接接收过来自俄罗斯市场支付渠道的资金。

"最终通过链上分析，我们将用户'Fly'与俄罗斯市场的比特币基础设施相关联——特定钱包持续接收来自市场关联钱包的资金"。调查还发现"Fly"利用Bitzlato等非法混币服务及无需KYC的交易所清洗资金，进一步强化了与非法资金流的关联。

网络犯罪的持久威胁

俄罗斯市场的存续凸显了现代网络犯罪组织的韧性。正如Intrinsec指出："该市场持久的生命力和稳定输出令人震惊，同时也表明打击网络犯罪有时是场艰苦卓绝的持久战"。

通过揭露"Fly"的历史与金融关联，这份报告为执法部门和防御者提供了针对这个互联网上最顽固犯罪集市的新行动情报。

参考来源：

The Ghost in the Market: Unmasking “Fly,” the Secret Architect of the Infamous Russian Market

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）