zef art - stock.adobe.com

Actualites

Opération Endgame : après SocGholish, au tour d'Amadey et StealC

L'opération Endgame continue de porter des coups à l'écosystème cybercriminel, avec cette fois des atteintes aux infrastructures d'Amadey et de StealC. Et une nouvelle moisson de données utiles à la poursuite des efforts.

Valéry Rieß-Marchive
par
Publié le: 24 juin 2026

Saison 3, épisode 4. L'Opération Endgame continue de battre son plein. Cette intervention internationale majeure contre les infrastructures cybercriminelles, ciblant le modèle économique de « cybercrime-as-a-service » (MaaS), vient de conduire au démantèlement de 326 serveurs et 142 domaines, tout en saisissant plus de 41 millions d'euros d'actifs cryptographiques criminels.

L'objectif stratégique reste le même : perturber les « chaînes d'assemblage » utilisées par les cybercriminels pour lancer des attaques avec rançongiciel, des fraudes financières et des assauts sur des infrastructures critiques. Cette collaboration entre les forces de l'ordre et le secteur privé, dont Eset, Microsoft, Proofpoint, a marqué un changement de paradigme : l'effort a visé à désorganiser l'ensemble de la chaîne logisitique des cyberattaques, plutôt que de se concentrer uniquement sur des menaces individuelles.

SocGholish, Amadey et StealC : Anatomie des menaces

Les trois familles de logiciels malveillants ciblées — SocGholishAmadey et StealC — illustrent la diversité des vecteurs d'infection et des fonctions au sein de l'écosystème MaaS.

SocGholish, un dropper/loader, permettait aux parties non autorisées d'accéder aux systèmes en distribuant de fausses mises à jour de navigateur via des sites web compromis. Ce mécanisme, souvent exploité sur des sites construits avec WordPress, a nécessité la remédiation de 14 971 sites infectés. Selon Europol, ce maliciel servait de point de départ à des activités criminelles plus larges, telles que l'installation de rançongiciels.

Amadey, quant à lui, est un dropper/loader principalement diffusé par des campagnes de phishing. Il agit lui aussi comme le premier maillon d'une chaîne d'attaque plus vaste, capable d'introduire d'autres logiciels malveillants dans les systèmes compromis. Comme le relève Eset, ce maliciel a donc pour objectif principal de distribuer des logiciels malveillants supplémentaires aux systèmes informatiques compromis.

StealC est un cleptogiciel - ou infostealer - prédominant, conçu pour extraire des informations sensibles telles que mots de passe, données d'accès stockées et identités numériques, comme le rappelle Proofpoint. Les données volées incluent les informations de navigateur, les données d'e-mail et les clés de portefeuilles cryptographiques.

Fragmentation et décentralisation : Le défi technique

Le modèle MaaS, bien que facilitant la distribution, crée une infrastructure souvent fragmentée, ce qui complexifie les efforts de démantèlement. Contrairement à d'autres écosystèmes, les affiliés d'Amadey et de StealC sont responsables du déploiement et de l'exploitation de leur propre infrastructure.

Pour surmonter cette fragmentation, les chercheurs ont dû se concentrer sur l'identification de clusters d'activité. Eset a détaillé comment l'analyse des échantillons de malwares a permis de regrouper les activités en utilisant des valeurs statiques codées en dur, telles que les clés RC4 et les identifiants de construction. Cette approche a permis de cartographier l'architecture décentralisée des menaces.

Concernant StealC, Eset a identifié 73 clusters distincts, soulignant la difficulté de cibler un point de défaillance unique. Parallèlement, Proofpoint a mis en lumière l'identification d'une vulnérabilité dans le panneau de commande de StealC, exploitée par les forces de l'ordre pour soutenir l'opération.

L'opération Endgame a démontré que la lutte contre ces menaces repose sur la compréhension de l'architecture du marché criminel, où la décentralisation et la modularité des outils sont les caractéristiques techniques dominantes. La vidéo publiée par les autorités suggère accessoirement qu'un administrateur de StealC spoliait de leur butin ses affidés. Les pseudonymes de plusieurs d'entre eux figurent les plaques minéralogiques des véhicules présentés dans la vidéo. 

Pour approfondir sur Cyberdélinquance