Cyberattaques : début de la saison 2 de l’opération Endgame

Dévoilée il y a près d’un an, cette opération judiciaire internationale frappait aux prémisses des cyberattaques. Elle a permis d’aller un cran plus loin, en remontant aux clients des botnets en mode service touchés dans le cadre de cette opération.

« Il s’agit de la plus grande opération jamais menée contre les réseaux de zombies, qui jouent un rôle majeur dans le déploiement des ransomwares », annonçait Europol dans un communiqué de presse publié le jeudi 30 mai 2024 au matin.

Baptisée Endgame, cette opération avait été conduite entre le 27 et le 29 mai. Elle avait été « initiée et dirigée par la France, l’Allemagne et les Pays-Bas », « soutenue par Eurojust et a impliqué le Danemark, le Royaume-Uni et les États-Unis ».

En outre, « l’Arménie, la Bulgarie, la Lituanie, le Portugal, la Roumanie, la Suisse et l’Ukraine ont également soutenu l’opération par différentes actions, telles que des arrestations, des interrogatoires de suspects, des perquisitions et des saisies ou des déclassements de serveurs et de domaines », pouvait-on lire alors dans le communiqué.

Cette opération revêtait une importance toute particulière : elle visait des botnets dont l’activité est très fortement liée aux cyberattaques débouchant sur le déclenchement de rançongiciels. Étaient alors cités IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee et Trickbot.

Concrètement, l’opération Endgame a initialement conduit à « 4 arrestations (1 en Arménie et 3 en Ukraine), 16 fouilles de lieux (1 en Arménie, 1 aux Pays-Bas, 3 au Portugal et 11 en Ukraine) », mais aussi à l’arrêt ou la perturbation de « plus de 100 serveurs […] en Bulgarie, au Canada, en Allemagne, en Lituanie, aux Pays-Bas, en Roumanie, en Suisse, au Royaume-Uni, aux États-Unis et en Ukraine », et la saisie de « plus de 2 000 domaines ».

Huit fugitifs recherchés par les autorités allemandes ont été ajoutés à la liste des personnes les plus activement recherchées en Europe. Mais ce n’était qu’une première phase. 

Au cœur des activités cybercriminelles

Dans un communiqué de presse publié ce mercredi 9 avril 2025, Europol lève le voile sur la seconde phase de l’opération, survenue en « début » d’année.

Là, « les clients du botnet Smokeloader, exploité par l’acteur connu sous le nom de “Superstar”, ont dû faire face à des conséquences telles que des arrestations, des perquisitions, des mandats d’arrêt ». 

Cet acteur malveillant, apprend-on, « utilisait son réseau de zombies pour gérer un service d’installation payante, permettant aux clients d’accéder aux machines des victimes. Les clients utilisaient ce service pour déployer des logiciels malveillants dans le cadre de leurs propres activités criminelles ». 

L’accès au réseau de zombies était « acheté à des fins diverses, notamment pour l’enregistrement des frappes clavier, l’accès aux webcams, le déploiement de ransomwares, le cryptomining, etc. » Les données des clients du réseau figuraient dans une base de données saisie lors de la première phase de l’opération Endgame.

Certains de ces clients « ont revendu les services achetés à Smokeloader à un prix majoré », apprend-on également : « un point d’intérêt supplémentaire à l’enquête ».

L’opération Endgame n’est pas finie, indique en outre Europol. La suite au prochain épisode de cette seconde saison.

Pour approfondir sur Cyberdélinquance