RedLine管理员被引渡：3年盗取千万条凭证的"盗号SaaS"

2021年11月，一个加密货币账户在暗网注册。没人想到，这个账户会在接下来三年里，成为全球最大的"盗号SaaS"平台的资金中转站——直到本周一，它的注册者Hambardzum Minasyan在亚美尼亚被捕，随后被引渡到美国。

美国司法部周三公布的起诉书显示，Minasyan管理的RedLine信息窃取木马，已跻身近年来最猖獗的网络犯罪工具之列。这款恶意软件采用"恶意软件即服务"（Malware-as-a-Service，MaaS）模式运营：开发者提供技术基础设施，下游"加盟商"负责传播感染，双方按比例分成赃物收益。

RedLine的商业模式堪称网络犯罪界的" Shopify "——它把盗号这件事，做成了可规模化订阅的企业服务。

一个亚美尼亚人的"基础设施"生意

根据德克萨斯州西区联邦法院的指控，Minasyan的核心角色是"数字房东"。他注册了虚拟专用服务器（Virtual Private Server，VPS）作为RedLine的指挥控制节点，拿下两个用于攻击的域名，并在2021年底开设了那个关键的加密货币账户——专门用来接收下游加盟商的分成。

起诉书还提到一个细节：Minasyan运营着在线文件共享仓库，向加盟商分发恶意软件样本。这相当于给犯罪分子开了个"应用商店"，一键下载即可开始"营业"。

美国司法部在声明中援引了负责国家安全的助理司法部长Matthew G. Olsen的表述：「Minasyan被指控与他人合谋，通过开发和运营RedLine来致富——这是全球最流行的信息窃取恶意软件变种之一，此前曾被用于针对大型企业的入侵活动。」

如果罪名成立，Minasyan最高面临30年监禁。指控涵盖访问设备欺诈、计算机欺诈与滥用法案违规、洗钱共谋三项重罪。

"Operation Magnus"：一场跨国基础设施拆除

RedLine的覆灭并非始于本周的引渡。时间线要倒回2024年10月——荷兰国家警察在国际合作伙伴协助下，发起代号为"Magnus行动"的联合打击，直接扣押了RedLine MaaS平台的网络基础设施。

这次行动的特殊之处在于：它没有只抓"末端加盟商"，而是瞄准了平台的中枢神经。警方同时查封了管理后台和命令控制服务器（Command and Control，C2），相当于一夜之间拔掉了犯罪集团的供电系统。

但基础设施可以重建，关键人物才是根治之策。美国同步起诉了另一名嫌疑人——俄罗斯公民Maxim Alexandrovich Rudometov，他被认定为RedLine的疑似开发者和总管理员。Rudometov面临的刑期更长：最高35年，罪名包括访问设备欺诈、计算机入侵共谋和洗钱。

两人的分工大致清晰：Rudometov负责写代码，Minasyan负责搭服务器、管钱、做客服。

起诉书披露了一个容易被忽略的运营细节：Minasyan团队实际承担了"客户支持"职能——回答加盟商的技术问题，处理他们的需求请求。这种"售后服务"让RedLine在暗网保持了较高的用户粘性，也解释了为何该平台能在三年内持续扩张。

10万美元悬赏与"政府背景"疑云

2025年6月，美国国务院追加了一记重锤：对RedLine运营者及其疑似创造者开出最高1000万美元的悬赏，征集能导致逮捕的情报。悬赏公告的特别之处在于，它明确将目标指向"与政府有关联的黑客"——这是官方首次暗示RedLine可能存在国家背景支持。

这一表述在网络安全圈引发猜测。信息窃取木马通常被视为"纯犯罪工具"，与勒索软件团伙的商业模式不同；但RedLine的精细化运营、长期稳定性，以及核心成员至今未被俄罗斯当局触及的事实，让部分分析师怀疑其背后有情报机构的庇护或利用。

不过，美国司法部目前的公开起诉并未将国家支持列为正式指控。Minasyan和Rudometov的案卷仍围绕传统网络犯罪框架展开：盗窃金融信息、通过加密货币交易所洗钱、为下游犯罪提供工具。

RedLine的技术能力确实处于行业前列。执行后，它会系统性地扫描受害者计算机，提取浏览器存储的密码、Cookie、自动填充数据，以及加密货币钱包的私钥文件。对企业用户而言，这意味着VPN凭证、云服务访问令牌、内部系统账号的批量泄露——一次感染可能演变为针对整个供应链的跳板攻击。

2024年的Magnus行动后，RedLine的活跃度一度骤降。但信息窃取市场的真空从未持续太久：同期崛起的替代者包括Torg Grabber（专攻728种加密货币钱包）、利用伪造企业VPN站点的凭证钓鱼团伙，甚至微软必应AI推荐的恶意GitHub仓库。

犯罪工具的迭代速度，永远比执法响应快半步。

Minasyan的引渡标志着Magnus行动的第二阶段——从"拆服务器"转向"抓人"。但30年刑期能否兑现、Rudometov能否被引渡（美俄之间无引渡条约）、那1000万美元悬赏最终花落谁家，目前都是未知数。

更现实的追问或许是：当盗号都能做成订阅制SaaS，企业的身份验证体系是否还在用十年前的防御逻辑？