Microsoft, Europol et des partenaires internationaux ont neutralisé les infrastructures utilisées par les opérateurs des malwares Amadey et StealC. Cette action s’inscrit dans le cadre de l’opération Endgame, qui cible les services cybercriminels et les gangs de rançongiciels.
Les forces de l’ordre et des partenaires privés de plusieurs pays ont collaboré pour identifier et démanteler, saisir, bloquer ou rediriger les infrastructures liées à ces familles de logiciels malveillants.
Europol a annoncé que l’opération a conduit à la perturbation de 326 serveurs et de 142 domaines. Les enquêteurs ont aussi identifié plus de 41 millions d’euros en cryptomonnaie liés à des activités illégales et ont récupéré près de 27 millions d’identifiants volés sur plus de 385 000 systèmes compromis.
« En neutralisant ces outils simultanément, la collaboration entre la police et le secteur privé a accru les difficultés pour les cybercriminels. Leurs attaques rencontrent plus d’obstacles pour réussir, se propager ou reprendre », a déclaré l’agence européenne.
L’action coordonnée a également visé SocGholish, connu sous le nom de FakeUpdates. Ce chargeur malveillant infecte les visiteurs via des sites web compromis qui affichent de fausses alertes de mise à jour de navigateur.
L’opération Endgame a mobilisé des agences de police du Canada, du Danemark, d’Allemagne, des Pays-Bas, du Royaume-Uni et des États-Unis, avec Europol et Eurojust en coordination. Le soutien du secteur privé est venu de Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned, Spamhaus et d’autres.
Selon Europol, l’opération avait pour but de perturber les infrastructures cybercriminelles que les acteurs malveillants utilisent pour obtenir un accès initial aux systèmes, voler des identifiants et finalement déployer des rançongiciels ou mener des fraudes financières.
Amadey et StealC sont vendus aux cybercriminels via des modèles de malware-as-a-service. Dans ce système, des affiliés paient pour accéder à des constructeurs de logiciels malveillants, à des panneaux de gestion, à un support et à une infrastructure.
Les criminels emploient Amadey pour obtenir un premier point d’ancrage sur les appareils des victimes et y déployer d’autres logiciels malveillants. StealC sert à voler des identifiants, des portefeuilles de cryptomonnaie et d’autres informations sensibles qui peuvent ensuite être vendues ou exploitées dans des attaques par rançongiciel.
Amadey est un botnet utilisé à la fois par des gangs de rançongiciels et par des groupes de pirates parrainés par des États pour pénétrer des réseaux. Plus récemment, StealC a été largement utilisé dans diverses attaques de type ClickFix, comme de fausses vidéos pédagogiques sur TikTok ou des attaques FileFix.
Dans une action civile déposée aux États-Unis, l’unité des crimes numériques de Microsoft a déclaré avoir identifié plus de 200 domaines et adresses IP malveillants de commande et contrôle associés à Amadey et StealC. L’entreprise a travaillé avec des partenaires pour fermer cette infrastructure via des ordonnances judiciaires, des saisies de domaines, des inscriptions et des notifications aux hébergeurs.
Selon la plainte de Microsoft, les identifiants volés via StealC sont couramment vendus sur des marchés souterrains et par des courtiers en accès initial. Ces identifiants sont ensuite utilisés par d’autres acteurs de la menace pour violer des réseaux, voler des données et déployer des rançongiciels.
La société a indiqué que les deux familles de logiciels malveillants étaient liées à plus de 140 000 appareils infectés rien que pendant les deux premières semaines de mai 2026.
D’autres partenaires privés ont publié des rapports sur leur implication dans cette perturbation.
Le fournisseur de sécurité ESET a déclaré avoir aidé l’opération en identifiant et en perturbant l’infrastructure utilisée par les deux familles de logiciels malveillants. L’action a touché environ 50 domaines utilisés par ces opérations et près de 200 serveurs de commande et contrôle actifs.
Proofpoint et IBM X-Force ont également fourni des renseignements et des analyses de logiciels malveillants pour soutenir le démantèlement.
Bitsight a indiqué avoir aidé l’opération en identifiant et en analysant l’infrastructure associée aux deux familles de logiciels malveillants, ce qui a permis aux enquêteurs de cartographier les serveurs et l’infrastructure de commande et contrôle utilisés par les acteurs de la menace.
Cette perturbation est la dernière phase de l’opération Endgame, qui avait auparavant démantelé d’autres familles de logiciels malveillants, comme DanaBot, Bumblebee, Rhadamanthys, VenomRAT, Elysium et SmokeLoader.
Mais si aucune arrestation n’est réalisée dans ces opérations, les acteurs de la menace reconstruisent couramment leur infrastructure pour lancer de nouvelles attaques.