Microsoft et Europol ont démantelé ce 24 juin les infrastructures de StealC et d’Amadey, deux logiciels malveillants liés à plus de 140 000 ordinateurs infectés sur les deux premières semaines de mai. Plus de 200 serveurs de commande et contrôle ont été neutralisés. L’intelligence artificielle a servi à établir le lien juridique entre les deux outils, poursuivis ensemble sous un chef de racket.
StealC est un infostealer qui aspire les mots de passe, les cookies et les portefeuilles en cryptomonnaies depuis les machines infectées. Amadey sert quant à lui de point d’entrée : actif depuis 2018, ce loader dépose d’autres malwares sur les appareils qu’il compromet, dont StealC. Les deux outils ont été développés par des groupes criminels différents, mais leurs opérateurs utilisaient les mêmes serveurs. Pas très malin.
La Digital Crimes Unit de Microsoft a utilisé Copilot pour analyser les binaires des deux malwares et détecter ce chevauchement. En posant des questions en langage courant plutôt qu’en épluchant manuellement du code, les enquêteurs ont retracé les connexions en quelques minutes, assez pour que les juristes traitent les deux familles comme un seul réseau criminel au sens du RICO, la loi américaine anti-racket. « Il ne suffit plus de s'attaquer aux menaces l'une après l'autre », a déclaré Steven Masada, directeur juridique adjoint de la DCU. « Il faut interrompre la façon dont les attaques sont assemblées ».
La solution tout-en-un pour protéger votre entreprise
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Microsoft poursuit cinq opérateurs sous la loi anti-racket américaine
La plainte, déposée devant le tribunal fédéral du district sud de la Floride (dossier 26-cv-24064-JB), désigne cinq individus comme co-responsables d’une « entreprise criminelle de type Malware-as-a-Service ». Au total, 326 serveurs et 142 domaines ont été saisis ou neutralisés par l’ensemble des partenaires de l’opération. Europol a, par ailleurs, gelé plus de 41 millions d’euros d’actifs cryptographiques d’origine criminelle et récupéré 27 millions d’identifiants volés.L’opération mobilise un écosystème large de partenaires privés : ESET, BitSight, IBM X-Force, Proofpoint, Lumen et Mitsui Bussan Secure Directions ont tous fourni des analyses techniques, des listes de serveurs C2, des clés de chiffrement et des identifiants de campagnes. Proofpoint et IBM X-Force ont en outre développé un émulateur de StealC qui a permis d’identifier une faille dans le panneau de contrôle du malware, ensuite exploitée par les forces de l’ordre pour saisir des serveurs supplémentaires.
Amadey, vecteur d’une attaque russe contre l’Ukraine
L’opération a notamment révélé l’usage offensif d’Amadey par des acteurs étatiques. D’après Microsoft, le groupe russophone Secret Blizzard a exploité des machines déjà infectées par Amadey pour déployer ses propres outils contre des cibles en Ukraine. Des cybercriminels l’exploitaient comme terrain de chasse ; des services de renseignement russes y trouvaient une infrastructure déjà en place pour leurs opérations.
Des infections enchaînées peuvent aboutir à des ransomwares. Des chercheurs d’IBM X-Force ont retracé un cas dans lequel StealC a téléchargé XTinyLoader, qui a ensuite déposé une charge utile du ransomware LockBit Black. Les 140 000 ordinateurs infectés en mai ne sont en revanche qu’une fraction du parc réellement touché : Amadey comptait à lui seul 11 635 échantillons de malwares distribués en 2025, contre 66 en 2019.
Cette action prolonge directement le volet SocGholish d’Operation Endgame, bouclé le 18 juin, au cours duquel 14 971 sites WordPress compromis avaient été nettoyés. La France arrive au 16e rang des pays les plus touchés par StealC selon les données Microsoft, derrière les États-Unis, l’Allemagne et l’Ukraine.
Source : Communiqué de presse
