Près de 15 000 sites WordPress compromis par SocGholish ont été nettoyés dans le cadre de l'Operation Endgame. L'action, coordonnée avec Europol et Eurojust, vise une chaîne d’infection liée au groupe cybercriminel Evil Corp.
L'Opération Endgame poursuit son travail de démantèlement, cette fois contre l’une des chaînes d’infection les plus installées du cybercrime. Le 18 juin, les autorités des Pays-Bas, du Canada, des États-Unis et d’Allemagne, soutenues par Europol, ont annoncé une action coordonnée contre TA569, le groupe associé à SocGholish, aussi connu sous les noms FakeUpdates et GhoLoader. D’après Proofpoint, qui dit avoir fourni des informations pour soutenir l’enquête, l’opération a conduit à la mise hors ligne de plus de 100 serveurs et domaines, ainsi qu’au nettoyage de 14 971 sites web compromis.
La solution tout-en-un pour protéger votre entreprise
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
De fausses mises à jour qui ouvraient la porte aux ransomwares
Pour bien comprendre ce que les autorités viennent de frapper, il faut rappeler ce qu’est SocGholish. Associée au groupe TA569, lui-même publiquement lié au groupe cybercriminel russe Evil Corp, cette chaîne d’infection repose sur des sites légitimes compromis, souvent sous WordPress, dans lesquels les attaquants injectent du code chargé de rediriger une partie des visiteurs vers de fausses notifications de mise à jour de navigateur. L’internaute croit télécharger un correctif Chrome, Edge ou Firefox depuis une page dont il n’a aucune raison de se méfier, mais récupère en réalité une première charge malveillante, capable d’ouvrir la voie à d’autres infections.
Dans le détail, Proofpoint décrit une chaîne structurée en trois temps. D’abord, les injections SocGholish sont servies depuis les sites compromis. Ensuite, un service de distribution de trafic filtre les visiteurs selon leur pays, leur navigateur, leur système d’exploitation ou d’autres critères. Enfin, la charge finale, souvent GhoLoader, peut conduire à des infections plus lourdes, notamment à des déploiements de ransomware dans des environnements Active Directory. Au fil des années, les injections SocGholish ont ainsi été associées à plusieurs familles connues, dont WastedLocker, LockBit et RansomHub.
Proofpoint suit TA569 et les infections SocGholish depuis 2018. En huit ans, cette technique de fausse mise à jour a eu le temps de sortir de son propre écosystème, d’inspirer d’autres groupes comme ClearFake, ZPHP ou ErrTraffic, et de s’installer sur des sites à forte audience. Au moment de l’opération, plusieurs plateformes compromises dans les médias, le commerce en ligne, la santé ou l’éducation recevaient encore des millions de visites quotidiennes.
Un coup porté à SocGholish, une menace encore réplicable
L’opération annoncée le 18 juin ne mettra sans doute pas fin aux fausses mises à jour piégées, mais elle porte un sérieux coup d’arrêt à l’un de leurs acteurs historiques. Les forces de l’ordre ont annoncé avoir saisi plus de 100 serveurs et domaines liés à l’infrastructure de TA569, et nettoyé les sites compromis qui servaient de relais à SocGholish. Cette action devrait perturber sa capacité de diffusion, sa réputation dans l’écosystème criminel et, très probablement, ses revenus. D’autres groupes actifs dans ce type d’injection pourraient toutefois profiter de l’espace laissé par l’affaiblissement de TA569.
Les propriétaires de sites concernés ne peuvent pas non plus se contenter du nettoyage opéré par les autorités. La police néerlandaise recommande de reprendre les accès en main, en activant l’authentification multifacteur, en renouvelant les mots de passe, en limitant les comptes administrateurs et en supprimant les extensions ou thèmes inutilisés. Elle conseille aussi de surveiller les modifications de fichiers, de bloquer l’exécution de fichiers PHP dans les répertoires d’upload et de conserver des sauvegardes hors du serveur web. Car si les injections visibles ont été retirées, des identifiants compromis, des comptes inconnus ou des portes dérobées peuvent toujours permettre à un attaquant de revenir.
Cette nouvelle action s’inscrit aussi dans la continuité de l'Operation Endgame, lancée en 2024 contre plusieurs infrastructures majeures du cybercrime. Ces derniers mois, les forces de l’ordre ont déjà visé des serveurs utilisés par Rhadamanthys, VenomRAT et Elysium, ainsi que des opérations liées à DanaBot, IcedID, Pikabot, TrickBot, Smokeloader, Bumblebee ou SystemBC.
À chaque fois, l’objectif est le même, à savoir couper les relais techniques qui permettent aux groupes cybercriminels de recruter des machines, de distribuer des malwares ou de préparer des attaques plus lourdes. SocGholish vient d’en perdre une partie, mais l’histoire récente du cybercrime invite à rester prudent. Des infrastructures tombent, des opérateurs se réorganisent, et les chaînes qui rapportent finissent parfois par refaire surface sous une autre forme.
