Cybercriminalité : un administrateur supposé du forum XSS arrêté et un domaine saisi

C’est un nouveau coup important porté au petit monde de la cybercriminalité : un administrateur supposé du bien connu forum XSS a été arrêté hier, 22 juillet, par les autorités ukrainiennes, en présence de représentants de la brigade de lutte contre la cybercriminalité de la Préfecture de Police de Paris, avec l’assistance d’Europol.

C’est ce qu’indique le parquet de Paris dans un communiqué partagé sur LinkedIn.

Anciennement connu sous le nom de DaMaGeLab, le forum était un haut lieu de la cybercriminalité, fréquenté notamment par les acteurs du monde du ransomware, bien que leur promotion en ait été bannie il y a quelques années.

Selon Europol, « l’administrateur du forum n’était pas seulement un opérateur technique, mais aurait également joué un rôle central dans la facilitation des activités criminelles. Agissant en tant que tiers de confiance, il arbitrait les litiges entre criminels et garantissait la sécurité des transactions ». Il aurait, en outre, « géré thesecure.biz, un service de messagerie privée adapté aux besoins du milieu cybercriminel clandestin ».

Cette interpellation s’inscrit dans la continuité d’une enquête ouverte par le parquet de Paris en juillet 2021, laquelle aurait « permis la mise en place de captations judiciaires sur le serveur Jabber thesecure.biz ». Selon le parquet, « les messages interceptés ont révélé de nombreuses activités illicites en lien avec la cybercriminalité et les ransomwares, et permis d’établir qu’elles avaient engendré au moins 7 millions de dollars de bénéfice ».

Si le forum est toujours accessible via ses adresses alternatives, et notamment via Tor, son nom de domaine principal a été saisi et redirigé vers un hébergement chez OVH.

Et comme les opérations judiciaires récentes (de 2025, ainsi que celles de 2024), cette interpellation est susceptible d’affecter la confiance au sein de l’écosystème cybercriminel en plus de révéler de nouveaux éléments sur certains de ses acteurs clés. Certaines activités d’Oleg Nefedov, aussi connu comme « tramp » au sein de Black Basta, avaient pu être retracées au travers de ses interventions publiques sur XSS.

Selon l’analyste 3xp0rt, de Prodaft, la communauté de XSS commente activement la situation, et cela d’autant plus qu’il « apparaît que les modérateurs [du forum] suppriment tous les contenus où l’administrateur (LARVA-27) est mentionné. Ce qui a été confirmé dans une conversation sur Telegram par le modérateur LARVA-466 (Rehub) ».

Le but ? « Supprimer tout récit susceptible de transformer la situation en un événement digne d’intérêt médiatique et, ce faisant, de “troller” les Occidentaux ».