Source: Intrinsec — Dans un rapport partagé avec ses clients en janvier 2025, l’équipe CTI d’Intrinsec documente le profil « FLY » et ses liens avec la place de marché Russian Market, en s’appuyant sur des pivots techniques et des traces d’infrastructure.

L’enquête met en avant la présence de « FLY » sur des canaux cybercriminels, notamment des forums et Telegram. Intrinsec souligne que, contrairement aux affirmations du site Russian Market, un acteur lié au marketplace a bien une activité publique. Sans confirmer que « FLY » est administrateur, le rapport établit des liens concrets avec la plateforme et rappelle que « FLY » fut le premier à promouvoir le marketplace sous le pseudonyme « FLYDED », ancien nom de Russian Market. ✳️

En pivotant sur les Whois d’anciens domaines de l’infrastructure de Russian Market, Intrinsec identifie des adresses e‑mail potentiellement liées au propriétaire. Un fichier malveillant de type stealer, daté de 2018, est associé à ces adresses ainsi qu’à un utilisateur nommé « AlexAske ». Artefacts et identités techniques renforcent ainsi la cartographie de l’acteur.

L’analyse de l’infrastructure bitcoin rattachée à Russian Market révèle des liens avec des plateformes d’échange non‑KYC, des services de mixing illégaux, et un wallet directement associé à « FLY », consolidant les connexions entre ce profil et le marketplace. 💸

Intrinsec précise que cette investigation s’appuie sur ses capacités CTI (SOC/MDR, CERT, heuristiques, honeypots, hunting, reverse, pivots) et présente ses offres associées:

  • Flux opérationnels d’IOCs et notes/rapports TIP‑compliant
  • Digital risk monitoring: détection/remédiation de fuites, EASM, protection de marque

Indicateurs et éléments cités (IOCs/TTPs extraits de l’extrait):

  • Identifiants/pseudos: « FLY », « FLYDED », « AlexAske »
  • Artefacts: fichier malveillant type stealer (2018)
  • Infrastructures/Services: e‑mails liés via Whois (non détaillés), wallet bitcoin associé à « FLY » (non détaillé), échanges non‑KYC, mixers illégaux

Type d’article: analyse de menace visant à cartographier « FLY » et ses liens avec Russian Market, assortie d’une présentation des services CTI d’Intrinsec.

🧠 TTPs et IOCs détectés

TTP

Utilisation de forums cybercriminels et Telegram pour la communication (T1595.001), Promotion de marketplaces illégales (T1583.001), Utilisation de services de mixing de cryptomonnaie pour blanchiment (T1537), Utilisation de plateformes d’échange non-KYC (T1583.003), Utilisation de fichiers malveillants de type stealer (T1070.004)

IOC

Identifiants/pseudos: ‘FLY’, ‘FLYDED’, ‘AlexAske’; Artefacts: fichier malveillant type stealer (2018); Infrastructures/Services: e-mails liés via Whois (non détaillés), wallet bitcoin associé à ‘FLY’ (non détaillé)

🔗 Source originale : https://www.intrinsec.com/mapping-fly-a-threat-actor-with-links-to-russian-markets-infrastructure/