Selon LeMagIT (article de Valéry Rieß-Marchive, 23 janv. 2026), le groupe de ransomware Alphv/BlackCat, auteur d’un retentissant exit-scam en 2024, préparerait un retour en s’appuyant sur une infrastructure décentralisée basée sur la blockchain ICP (Internet Computer Protocol), d’après un échange rapporté par VX-Underground.

• Contexte et historique: Le 5 mars 2024, Alphv/BlackCat est parti « avec la caisse » après avoir détourné à son profit la part d’un affidé sur une rançon de 22 M$ et engrangé au moins 10 M$ depuis le début de 2024. Des sources indiquent qu’il aurait opéré ensuite sous les bannières de RansomHub puis DragonForce.

• Changement d’infrastructure: D’après VX-Underground, Alphv compte abandonner Tor au profit de la blockchain ICP pour l’ensemble de son dispositif (portail des affidés, interface de négociation). Objectif affiché: disponibilité et résilience accrues via une architecture décentralisée. 🔗

• Parallèle avec Cry0: Début décembre, l’opérateur du nouveau RaaS Cry0 a détaillé une stratégie similaire:

  • Hébergement des pages de discussion sur ICP (accès direct via navigateur, sans Tor), avec promesse de disponibilité 100% et immunité DDoS.
  • Site vitrine également hébergé sur une blockchain, présenté comme décentralisé et résistant à la censure.
  • Modèle de confiance: génération d’une paire de clés asymétriques par l’affidé, seule la clé publique étant transmise à la franchise; la clé privée de déchiffrement reste à l’affidé.
  • Paiements via contrat intelligent assurant une répartition automatique et immuable des parts entre sous-comptes définis par l’affidé. 💸

• Question ouverte sur les identités: Dans l’écosystème cybercriminel, la concomitance des annonces (Cry0 en décembre, Alphv via VX-Underground récemment) nourrit la question: Cry0 cacherait-il Alphv ? Cry0 dément, sans convaincre largement.

• Enjeux mentionnés: Passage des gangs de ransomware à des infrastructures décentralisées inspirées d’IPFS/FileCoin, recherche de tolérance aux pannes, résistance à la censure et garanties automatiques de paiement pour les affidés. 🧬

• IOCs: Aucun IOC spécifique partagé dans l’article.

• TTPs observés/rapportés:

  • Modèle RaaS avec portail d’affidés et interface de négociation.
  • Migration de Tor vers la blockchain ICP pour hébergement et négociation.
  • Contrats intelligents pour la distribution immuable des rançons.
  • Clés asymétriques avec contrôle de la clé privée par l’affidé.
  • Hébergement vitrine et services sur infrastructure décentralisée (résilience, anti-censure).

Type d’article: analyse de menace. Objectif principal: informer sur l’éventuel retour d’Alphv/BlackCat et la tendance à la décentralisation des infrastructures RaaS via ICP.

🧠 TTPs et IOCs détectés

TTP

Modèle RaaS avec portail d’affidés et interface de négociation; Migration de Tor vers la blockchain ICP pour hébergement et négociation; Contrats intelligents pour la distribution immuable des rançons; Clés asymétriques avec contrôle de la clé privée par l’affidé; Hébergement vitrine et services sur infrastructure décentralisée (résilience, anti-censure).

IOC

Aucun IOC spécifique partagé dans l’article.

🔗 Source originale : https://www.lemagit.fr/actualites/366637663/Alphv-BlackCat-deja-un-retour-deguise