Les autorités de plusieurs pays, appuyées par des entreprises technologiques, ont annoncé avoir démantelé une partie significative de la chaîne d'approvisionnement utilisée par les cybercriminels. L'opération baptisée Endgame a ciblé en parallèle deux outils de piratage distincts : Amadey, une plate-forme de malware en tant que service, et StealC, un service de vol d'informations.
Amadey, observé depuis 2018, permet aux attaquants de prendre le contrôle d'appareils pour y déployer des charges malveillantes, notamment des rançongiciels. L'année dernière, cet outil avait été repéré en train d'exploiter la plate-forme GitHub pour collecter des données système. StealC, de son côté, se spécialise dans le vol d’identifiants, de cookies d'authentification, de portefeuilles de cryptomonnaies et de fichiers correspondant à des critères définis par ses clients.
Un lien technique exploité par l'enquête
Bien que gérés indépendamment, ces deux services s’appuyaient en partie sur la même infrastructure sous-jacente. Une analyse menée par Microsoft à l’aide de l’intelligence artificielle a mis en évidence ce recoupement, ce qui a permis à ses juristes d'engager une procédure fondée sur le RICO, une loi américaine conçue pour lutter contre les organisations criminelles. Cette qualification juridique a traité les deux outils comme les éléments d’une même conspiration, ouvrant la voie à une action simultanée.
« Cette action s’attaque à la chaîne d’assemblage de la cybercriminalité, où des outils coordonnés alimentent les rançongiciels, les fraudes financières et les perturbations des services publics », a expliqué un porte-parole de Microsoft. « Amadey et StealC sont souvent utilisés ensemble : Amadey permet aux assaillants d’accéder aux appareils, tandis que StealC dérobe les mots de passe et les informations sensibles. Ensemble, ils forment un maillon essentiel de la chaîne. »
Bilan de l’opération
Europol, qui a coordonné la composante policière de l'opération, a fait état de la récupération d’environ 27 millions d’identifiants de connexion volés, ainsi que de la découverte de 47 millions de dollars d’actifs en cryptomonnaies d’origine criminelle. Au total, 326 serveurs et 142 noms de domaine ont été neutralisés par les forces de l’ordre et les partenaires privés. Microsoft a indiqué de son côté avoir perturbé plus de 200 serveurs de commande et de contrôle et repris le contrôle de plus de 18 000 ordinateurs infectés.
« En agissant sur ces outils de manière simultanée, la collaboration entre les autorités et le secteur privé a accru les difficultés pour les cybercriminels, rendant les attaques plus compliquées à mener, à étendre ou à relancer », a précisé Europol dans un communiqué.
Portée de l’intervention
Cette opération illustre une approche novatrice : au lieu de traquer chaque acteur séparément, les enquêteurs ont ciblé l’infrastructure commune qui sert de base à de nombreuses activités illicites. En brisant ce maillon logistique, ils espèrent freiner tout un pan de l’économie souterraine du vol de données et des rançongiciels. Plusieurs entreprises privées ont également collaboré à l’effort, même si leurs noms n’ont pas tous été divulgués.
Les spécialistes en sécurité soulignent que le démantèlement ne signifie pas la disparition définitive de ces menaces, mais qu’il impose un coût opérationnel et financier significatif à leurs opérateurs, qui devront reconstruire leurs infrastructures avant de pouvoir reprendre leurs activités à grande échelle.
