Cybercriminalité : la lutte contre les infrastructures de support se poursuit

Les communiqués relatifs à cette opération « safran » sont attendus « sous peu » à l'heure où nous publions ces lignes : les forces de l'ordre de plusieurs pays, dans la France, avec la BL2C, le parquet de Paris et l'OFAC, ont saisi les infrastructures de First VPN Service.

Ce fournisseur de services de réseau privé virtuel, revendiquant 33 serveurs et des points de présence dans 27 pays, est connu pour avoir notamment été utilisé par des cybercriminels. Huntress en a encore récemment vu la trace dans des attaques en force brute contre des services RDP. Avec des adresses IP connues pour avoir été utilisées dans le cadre de cyberattaques impliquant les enseignes de rançongiciel Hive et BlackSuit.

Pour son enquête publiée le 10 avril, Huntress est remonté à First VPN Service via la base de données de Maltrail, après avoir pivoté sur les certificats associés à certaines adresses IP.

À l'heure où nous publions ces lignes, le site clear net de First VPN Service n'est pas accessible. Sa dernière capture par la Wayback Machine remonte au 8 mars et fait ressortir son onion.

C'est là qu'est révélée l'opération. Et la vidéo publiée sur l'onion du service suggère qu'il ne s'agit pas d'une petite prise : selon son narratif, le prestataire de service conservait les traces réseau de ses clients, contrairement à ses allégations. Les forces de l'ordre auraient mis la main dessus. De quoi prolonger leurs enquêtes et, potentiellement, se rapprocher de l'identité réelle de cybercriminels. Un message leur est d'ailleurs adressé : « Vous devriez vérifier vos emails ! » Une liste de 64 adresses IP de points de présence est en outre affichée. On y retrouve deux adresses déjà documentées.

La chaîne Telegram de First VPN Service, avec ses 280 abonnés, est encore présente, les derniers messages visibles datant du 12 mai.

La révélation de cette opération survient après que soit rendue publique l'opération Ramz, menée entre octobre 2025 et février 2026 : elle visait des infrastructures de distribution de courriels de hameçonnage et de maliciels, au Moyen-Orient et en Afrique du Nord. Elle a débouché sur l'arrestation de 201 personnes et l'identification de 382 suspects additionnels. Au total, 53 serveurs ont été saisis et près de 3 900 victimes ont pu être identifiées.

De son côté, Microsoft vient lever le voile sur une procédure judiciaire engagée contre une entité désignée sous le nom de Fox Tempest et connue pour fournir des services de signature numérique d'exécutables : de quoi passer sous de nombreux radars et systèmes de détection en revêtant les habits de la légitimité. Selon l'éditeur, ces services ont notamment été utilisé par des cleptogiciels, on infostealers, tels que Lumma et Vidar, mais également pour des ransomware, à commencer par Rhysida.