Microsoft, en collaboration avec le ministère américain de la Justice, a réussi à démanteler un réseau de malware appelé Lumma Stealer, qui a infecté des centaines de milliers d’ordinateurs dans le monde. Avec l’appui d’Europol et d’autres entreprises de cybersécurité, cette opération marque une avancée majeure dans la lutte contre les cybercriminalités.
Microsoft, en partenariat avec le ministère américain de la Justice (DOJ), a franchi une étape importante dans le démantèlement d’un des outils de cybercriminalité les plus répandus actuellement en circulation. L’unité des crimes numériques de Microsoft (DCU) a collaboré avec le DOJ, Europol et plusieurs entreprises de cybersécurité pour perturber le réseau de malware Lumma Stealer — une plateforme de malware-as-a-service (MaaS) impliquée dans des centaines de milliers de violations numériques dans le monde entier.
Selon Microsoft, Lumma Stealer a infecté plus de 394 000 machines Windows entre mars et mi-mai 2025. Ce malware est un outil prisé des cybercriminels pour voler des identifiants de connexion et des informations financières sensibles, y compris des portefeuilles de cryptomonnaie. Il a été utilisé dans des campagnes d’extorsion visant des écoles, des hôpitaux et des fournisseurs d’infrastructures. D’après le site du DOJ, « le FBI a identifié au moins 1,7 million d’instances où LummaC2 a été utilisé pour voler ce type d’informations. »
Avec un ordre judiciaire du tribunal de district des États-Unis pour le district nord de la Géorgie, Microsoft a supprimé environ 2 300 domaines malveillants associés à l’infrastructure de Lumma. Le DOJ a simultanément pris le contrôle de cinq domaines critiques LummaC2, qui servaient de centres de commandement pour les cybercriminels déployant le malware. Ces domaines redirigent maintenant vers un avis de saisie gouvernemental.
Une assistance internationale est venue du Centre de lutte contre la cybercriminalité d’Europol (EC3) et du JC3 japonais, qui ont coordiné les efforts pour bloquer les serveurs régionaux. Des entreprises de cybersécurité comme Bitsight, Cloudflare, ESET, Lumen, CleanDNS et GMO Registry ont aidé à identifier et à démanteler l’infrastructure web.
À l’intérieur de l’opération Lumma
Lumma, aussi connu sous le nom de LummaC2, opère depuis 2022, peut-être même plus tôt, et propose son malware de vol d’informations à la vente via des forums cryptés et des canaux Telegram. Le malware est conçu pour être facile à utiliser et est souvent associé à des outils d’obfuscation pour contourner les logiciels antivirus. Les techniques de distribution incluent des emails de phishing ciblés, des sites web de marques contrefaits, et des publicités malveillantes connues sous le nom de « malvertising ».
Les chercheurs en cybersécurité affirment que Lumma est particulièrement dangereux car il permet aux criminels d’intensifier rapidement leurs attaques. Les acheteurs peuvent personnaliser les charges utiles, suivre les données volées et même obtenir un support client via un panneau utilisateur dédié. Microsoft Threat Intelligence a précédemment lié Lumma au gang notoire Octo Tempest, également connu sous le nom de « Scattered Spider ».
Lors d’une campagne de phishing plus tôt cette année, des hackers ont réussi à se faire passer pour Booking.com et ont utilisé Lumma pour collecter des informations financières auprès de victimes sans méfiance.
Qui est derrière tout ça ?
Les autorités pensent que le développeur de Lumma se fait appeler « Shamel » et opère depuis la Russie. Dans une interview de 2023, Shamel a affirmé avoir 400 clients actifs et a même vanté de marquer Lumma avec un logo de colombe et le slogan : « Gagner de l’argent avec nous est tout aussi facile. »
Disruption à long terme, pas un knock-out
Bien que ce démantèlement soit significatif, les experts préviennent que Lumma et des outils similaires ne disparaissent que rarement pour de bon. Néanmoins, Microsoft et le DOJ affirment que ces actions entravent sévèrement les opérations criminelles en coupant leurs infrastructures et leurs sources de revenus. Microsoft utilisera les domaines saisis comme des pièges pour recueillir des renseignements et protéger davantage les victimes.
Cette situation souligne le besoin de coopération internationale dans l’application des lois contre la cybercriminalité. Les responsables du DOJ ont souligné la valeur des partenariats public-privé, tandis que le FBI a noté que les interruptions autorisées par la cour restent un outil essentiel dans le livre de jeu de cybersécurité du gouvernement.
Alors que l’unité DCU de Microsoft poursuit son travail, cette répression de Lumma établit un précédent solide pour ce qui peut être accompli lorsque les spécialistes de l’industrie et du gouvernement collaborent pour éliminer les menaces.
À mesure que de plus en plus de ces organisations sont découvertes et perturbées, n’oubliez pas de vous protéger en changeant fréquemment vos mots de passe et en évitant de cliquer sur des liens de sources inconnues.