Russian Market：暗网中最活跃的凭证与信用卡黑市——2026年现状剖析

Russian Market是当今地下网络犯罪生态中最具持久性和影响力的平台之一，主要从事被盗凭证、信用卡数据（CVV）以及信息窃取恶意软件（infostealer）日志的交易。该平台自2019年左右开始运营，据称有俄罗斯政府背景，尽管名称中带有“Russian”，但该网站使用英语界面，面向全球用户。截至2026年3月，根据多家网络安全机构的监测报告（如Breachsense、CloudSek、SOCRadar、Rapid7等），Russian Market仍是stolencredentials和stealerlogs的主导市场之一，库存规模庞大，在售窃取日志超过1060万条，信用卡数据超过850万张。

与“暗网下/AWX”多次报道的其他曾被执法部门重创的平台（如Genesis Market于2023年被查封、导致Russian Market交易量激增670%；被查封的RaidForums/BreachForums、XSS等）相比，Russian Market表现出极强的韧性，未遭受平台级取缔，持续活跃。

平台运作模式与商品演变

Russian Market采用“自动商店”（autoshops）模式，类似于正规电商网站：商品分类清晰、可搜索、支持即时购买，买卖双方无需直接接触。这种低摩擦设计大幅降低了网络犯罪的准入门槛。

Russian Market平台的产品线经历了清晰的演变：

2019–2024年初：初期专注于远程桌面协议（RDP）访问权限销售。此类权限常被用于部署勒索软件、进行网络间谍活动，或作为进一步攻击的跳板。RDP访问已高度商品化，直至2024年1月该服务正式终止，不再提供。

2021年起：信用卡数据（CVV）业务迅速崛起，成为当时的主要品类之一，凭借扩张策略和较低的执法压力，一度领先同类平台。

2021年末至今：转向以信息窃取日志（stealerlogs，或称“僵尸程序”/bots）为主导。这些日志是由infostealer恶意软件从受害者设备中提取的数据包，通常包含：

• 保存的用户名、密码
• 浏览器会话cookie（可直接用于账户接管，绕过多因素认证）
• 自动填充数据、系统信息、加密钱包凭证等

2025年上半年，平台每月平均出售约3万个此类日志，上半年累计超过18万条公开出售。当前在售日志数量已达约1060万条，远超竞争对手（如2Easy仅为其约14%；Genesis Market关闭时仅有约42.5万个）。

主要商品详情与统计

信息窃取日志：平台最核心商品。买家可按地理位置、国家、操作系统、所用窃取工具类型、供应商、特定域名或邮箱等条件筛选。每个日志平均售价约10美元（历史价格范围1–100美元，取决于地理位置、数据质量、凭证有效性等）。日志大小通常为0.05–0.3MB，平均0.14MB，常包含多个域名的凭证。

• 主流窃取工具变种：Lumma Stealer曾占据主导地位（一度约66%，2024年Q4甚至达92%），但受2025年5月全球域名查封影响份额下降；Rhadamanthys（约5%）、Acreed等新兴变种崛起。早期流行的RedLine、Raccoon等因开发者被捕（RedLine2024年、Raccoon2022年相关行动），份额降至不足1%。
• 地理分布：美国受害者占比最高（约26%），其次阿根廷（23%）、巴西等。
• 部分数据存在质量问题，如重复、非唯一凭证，或虚假条目（[email protected]等），但整体供应量巨大。

信用卡数据：销量第二大品类，在售约850万张。前20发卡国中，美国银行卡占比高达84%（约716.7万张）。

辅助工具：平台集成BIN验证器（根据卡号前6–8位查询卡片信息，用于筛选高价值目标）；Netscape到JSONCookie转换器（将窃取的cookie转为现代浏览器兼容格式，便于实现会话劫持）。

卖家体系与生态特征

卖家采用积分评级体系，基于销量、买家反馈等计算分数。“钻石”级需超过10,000分，最高卖家分数可达20万以上。截至分析时，“窃取日志”板块仅列出约39家供应商，“信用卡”板块约557家，但许多供应商无实际商品上架。

参与者圈子相对封闭，每年仅新增一两个主要玩家。窃取工具变种也多出自同一小群体。尽管执法行动频繁，核心运营者和活跃卖家持续存在。

执法行动及其影响

自2022年以来，国际执法针对infostealer生态的打击显著加强：

• 2024年12月：Raccoon Stealer MaaS运营者Mark Sokolovsky被判5年监禁，导致该变种日志份额骤降。
• 2025年5月：微软、美国司法部、欧洲刑警组织等联合查封Lumma Stealer约2300个域名，基础设施遭受重创。
• 2025年11月：Operation Endgame行动关闭Rhadamanthys在226个国家/地区的超过1025台服务器，但运营者未公开被捕。

尽管如此，Russian Market平台本身未被整体取缔。竞争对手崩盘后用户迁移、平台的低调运营和快速适应能力，使其在2026年仍被多家报告视为stolencredentials和stealerlogs的主要枢纽。

风险与防御建议

Russian Market已成为凭证滥用攻击链的核心节点：企业员工设备感染infostealer→数据打包出售→买家购买用于初始访问、横向移动、勒索软件部署或账户接管。许多重大数据泄露事件最终可追溯至此类平台购买的凭证。

Russian Market的持续存在凸显了地下凭证经济的规模与韧性。其海量、低价供应降低了攻击门槛，对全球网络安全构成持久威胁。及时监控和强化身份防护，是有效降低风险的关键。

对于企业和个人，“暗网下/AWX”建议采取进一步防御措施加强防范，包括：

• 启用多因素身份验证（MFA），优先采用基于App或硬件密钥的方式（减少cookie劫持风险）。
• 使用唯一强密码，并借助密码管理器管理。
• 加强终端防护，部署端点检测与响应（EDR）工具，监控异常行为。
• 定期监测暗网暴露情报，检查组织域名、邮箱是否出现在此类平台。
• 开展员工安全意识培训，防范钓鱼邮件、恶意下载等感染途径。