Le 21 mai 2025, Europol, le FBI et Microsoft, en collaboration avec d’autres partenaires publics et privés, ont annoncé avoir mené une opération ciblant le maliciel Lumma, l’un des infostealers les plus actifs, diffusé sous forme de malware-as-a-service. Malgré la saisie d’environ 2 500 domaines et l’infiltration du serveur principal via une faille inconnue dans Dell iDRAC, une grande partie de l’infrastructure hébergée en Russie reste intacte.
Une reprise rapide, mais une réputation écornée
L’opération de démantèlement a suscité une vague de plaintes sur les forums cybercriminels, les clients n’ayant plus accès aux serveurs C2 ni aux tableaux de bord. Le développeur de Lumma a reconnu publiquement la compromission mais affirme être déjà opérationnel à nouveau, notamment via des serveurs russes toujours actifs.
Certains cybercriminels rapportent même avoir repris leurs activités commerciales avec Lumma sur Telegram. À noter également : les logs volés continuent d’être vendus sur les marchés noirs, y compris via des bots automatisés, confirmant la poursuite des compromissions postérieures à l’opération.
Tactiques psychologiques employées par les autorités
Comme dans l’opération Cronos contre LockBit, les autorités semblent avoir utilisé des stratégies psychologiques pour semer la confusion : messages insinuant que les administrateurs coopèrent avec les forces de l’ordre, création d’une fausse interface de connexion pour piéger les affiliés, et insertion d’un script JavaScript censé activer les caméras des utilisateurs (jugé inoffensif par les experts).
Conclusion
Selon Check Point Research, le véritable enjeu de l’opération ne réside pas uniquement dans la perturbation technique, mais bien dans l’effondrement potentiel de la réputation de Lumma. La perte de confiance entre affiliés, clients et développeurs pourrait limiter la capacité du malware à revenir sur le devant de la scène — même si les moyens techniques sont restaurés. L’avenir dira si Lumma pourra regagner sa place dans l’écosystème cybercriminel.
Cet article présente principalement une opération de police visant à perturber les activités d’un malware majeur.
🔗 Source originale : https://blog.checkpoint.com/security/lumma-infostealer-down-but-not-out/