Cleptogiciels : une vaste opération de démantèlement en Asie

Ce sont 41 serveurs qui ont été saisis et 32 suspects arrêtés dans le cadre de l’opération judiciaire « Secure ».

Visant à lutter contre la menace des cleptogiciels, ou infostealers, cette opération s’est déroulée de janvier à avril derniers et a permis de démanteler une infrastructure de plus de 20 000 adresses IP et noms de domaines, utilisés dans le cadre d’activités impliquant ces maliciels. Cela représente 79 % de l’infrastructure identifiée avec l’aide de Group-IB, Kaspersky et Trend Micro, en Asie. Les forces de l’ordre de 26 pays de la région ont été impliquées.

Interpol fait également état de l’obtention de plus de 100 Go de données.

Les cleptogiciels constituent une menace à l’impact et à l’étendue encore mal appréhendés. Ces maliciels furtifs sont utilisés pour dérober les données d’authentification (login, adresse mail, mot de passe) confiées aux navigateurs Web, ainsi que les jetons de session permettant d’accéder à un service en ligne après authentification. Ces derniers sont susceptibles d’être rejoués par des acteurs malveillants, afin de contourner les mécanismes d’authentification – jusqu’à l’authentification à facteurs multiples (MFA).

Les identifiants ainsi compromis sont régulièrement utilisés dans le cadre de cyberattaques avec rançongiciel, mais également pour le simple vol de données au sein d’applications métiers accessibles directement sur Internet. Ou encore pour le détournement de comptes légitimes à d’autres fins.

Récemment le groupe Stormous a diffusé une liste d’identifiants d’utilisateurs de services en ligne de l’éducation nationale. Une vaste combolist vraisemblablement constituée en tout ou partie depuis d’innombrables logs de cleptogiciels.  

Le croisement d’un premier échantillon divulgué par le groupe avec les données d’Hudson Rock a permis de conforter cette assertion, tout en mettant en lumière la nature partielle de la connaissance de l’étendue de la menace : le niveau de recouvrement des données n’a pas dépassé les 40 % selon nos constatations.

De quoi souligner que même les spécialistes du renseignement sur les menaces n’en constatent qu’une partie plus ou moins importante.

En 2024, Recorded Future avait constaté la compromission de plus de 23,5 millions de comptes, en France, par cleptogiciel. Le chiffre réel est vraisemblablement bien supérieur.