Rapid7 publie une recherche détaillée sur Russian Market, un marché cybercriminel actif depuis 2020, devenu un pôle majeur pour la vente de logs d’infostealers. Au premier semestre 2025, plus de 180 000 logs y ont été proposés, avec une concentration d’environ 70% des ventes entre trois vendeurs clés et une provenance d’identifiants touchant des organisations du monde entier (26% États‑Unis, 23% Argentine). Le rapport souligne la résilience de l’écosystème face aux perturbations policières et insiste sur la nécessité de surveiller les identifiants, d’activer la MFA et d’utiliser une veille proactive. 🕵️♂️
Le marché fonctionne comme une plateforme gated avec mesures anti-scraping, proposant environ 30 000 bots par mois à un prix moyen de 10 $/bot. Les bots incluent des identifiants, cookies, données d’autoremplissage et jetons de session, pour des archives de 0,05 à 0,3 Mo (moyenne 0,14 Mo). Un système de réputation structuré distingue des vendeurs Diamond et Platinum selon le volume de ventes et les retours acheteurs. 🛒
Côté offre malveillante, les vendeurs majeurs emploient des stratégies multi-stealers. Lumma est l’infostealer le plus adopté en 2025, tandis que Rhadamanthys et Acreed gagnent en popularité après des actions des forces de l’ordre visant Lumma en mai 2025. Les familles Vidar, RedLine, Stealc et Raccoon restent également très présentes.
Capacités techniques décrites: anti-sandbox, obfuscation de chaînes, exfiltration d’identifiants depuis navigateurs et applications, vol de portefeuilles crypto, collecte de jetons 2FA et protocoles de communication C2. TTPs observés:
- Évasions d’analyse (anti-sandbox, obfuscation)
- Collecte et exfiltration de credentials, cookies, formulaires et jetons de session
- Vol ciblé de portefeuilles de cryptomonnaies
- Collecte de jetons 2FA et maintien de sessions via cookies/jetons
- Communication C2 pour commande et contrôle
Couverture de détection Rapid7: MDR avec signatures pour RedLine, Lumma, Vidar/Stealc et Raccoon, et Threat Command pour la surveillance d’identifiants exposés avec alertes automatisées lorsque des actifs clients apparaissent dans les listings de bots. Il s’agit d’une publication de recherche orientée analyse de menace, visant à documenter l’économie souterraine alimentant les attaques par vol d’identifiants. 🔍
🔗 Source originale : https://www.rapid7.com/blog/post/tr-inside-russian-market-uncovering-the-botnet-empire