Shutter2U - stock.adobe.com

Actualites

DragonForce : L'évolution d'un RaaS vers un cartel criminel

Cette enseigne de rançongiciel en mode service a fortement évolué depuis son apparition, s'imposant comme l'une des plus actives du moment. Et ce n'est pas sans raison.

Valéry Rieß-Marchive
par
Publié le: 28 mai 2026

Émergeant en décembre 2023, DragonForce s'est rapidement établi comme une menace cybernétique majeure. Initialement un opérateur Ransomware-as-a-Service (RaaS), le groupe a évolué vers un modèle de cartel criminel en mars 2025, avec l'ambition affichée de « dicter les conditions du marché » du rançongiciel.

L'opérateur est évalué comme étant exclusivement motivé par le gain financier, sans affiliation étatique ou idéologique claire (CCB). À ce jour, DragonForce a compromis plus de 550 victimes, mais semble avoir sensiblement accéléré ses activité depuis le début de l'année. Son modèle d'affaires repose sur un programme d'affiliés lancé en juin 2024, offrant aux partenaires 80 % des paiements de rançon.

DragonForce a développé ses charges utiles à partir de bases de code issues de fuites antérieures, notamment LockBit 3.0 et Conti v3, en y intégrant des techniques avancées comme le Bring Your Own Vulnerable Driver (BYOVD). Le groupe a consolidé son influence en formant une coalition avec LockBit et Qilin en septembre 2025, une alliance perçue comme stratégique pour répondre à la pression des forces de l'ordre.

L'infrastructure de DragonForce est principalement européenne, s'appuyant sur des fournisseurs d'accès Internet basés au Royaume-Uni et utilisant des hébergeurs dits bulletproof, relève le centre belge pour la cybersécurité. Bien qu'une association avec DragonForce Malaysia soit souvent mentionnée, elle est considérée comme un leurre, voire une erreur, suggérant une origine dans la sphère d'influence de la Russie.

Mécanismes d'attaque : de l'accès initial à la double extorsion

La stratégie de DragonForce est centrée sur la double extorsion, une tactique qui combine le chiffrement des données avec l'exfiltration d'informations sensibles, augmentant ainsi considérablement le levier de pression sur la victime.

L'accès initial au réseau s'effectue par plusieurs vecteurs. Le hameçonnage est une méthode courante, complétée par l'exploitation de vulnérabilités logicielles publiques (telles que celles affectant Ivanti ou Fortinet) et des attaques par force brute ciblant les services RDP et VPN.

Une fois à l'intérieur, le groupe utilise des tactiques désormais courantes. Il s'appuie sur l'approche Living Off the Land (LOTL), employant des utilitaires natifs du système comme PowerShell pour exécuter des charges utiles, y compris des balises Cobalt Strike. Pour maintenir son accès, DragonForce utilise des comptes administrateurs compromis et modifie les clés de registre.

Le déplacement latéral s'effectue via des outils natifs comme PsExec et Windows Management Instrumentation (WMI), permettant d'étendre l'accès à travers le réseau. L'étape de collecte est cruciale : les données sensibles sont identifiées, regroupées et mises en scène pour l'exfiltration via des canaux variés.

Le rançongiciel utilise des techniques de chiffrement modernes, combinant le chiffrement symétrique pour le contenu des fichiers et la cryptographie asymétrique pour protéger les clés. Le message de rançon insiste sur une motivation strictement financière, affirmant : « Nous travaillons pour l'argent et ne sommes pas associés à la politique ».

Le ciblage géographique et sectoriel des organisations occidentales

DragonForce cible prioritairement les nations occidentales à PIB élevé. Les États-Unis constituent le pays cible dominant, reflétant le statut du pays comme principal pôle économique mondial. Les cinq pays les plus visés incluent les États-Unis, l'Allemagne, l'Australie, la France et Hong Kong.

Le profil des victimes est caractérisé par des organisations économiquement précieuses mais présentant une maturité en cybersécurité comparativement faible. Les secteurs les plus fréquemment touchés sont la fabrication, les services aux entreprises, la technologie, la construction et la santé.

Ces secteurs sont particulièrement attractifs pour plusieurs raisons. Premièrement, ils dépendent fortement de l'infrastructure numérique pour leur efficacité opérationnelle, élargissant ainsi leur surface d'attaque. Deuxièmement, de nombreuses organisations, notamment les PME, opèrent avec des systèmes hérités ou manquent des ressources financières et humaines nécessaires pour mettre en place des programmes de cybersécurité robustes. Enfin, la nature interconnectée de ces industries, comme la fabrication, expose les entreprises à des risques étendus au sein de chaînes d'approvisionnement mondiales.

Pour approfondir sur Menaces, Ransomwares, DDoS