🌐 Contexte

Source : Europol (europol.europa.eu), publié le 22 mars 2026. Du 9 au 19 mars 2026, l’Opération Alice a été lancée sous la direction des autorités allemandes avec le soutien d’Europol, impliquant 23 pays. L’investigation avait débuté mi-2021 contre la plateforme dark web “Alice with Violence CP”.

🎯 Nature de la menace

Un individu unique de 35 ans, basé en République populaire de Chine, a opéré pendant près de cinq ans (novembre 2019 à récemment) un réseau massif de sites frauduleux sur le dark web :

  • Plus de 373 000 domaines onion créés et opérés
  • Plus de 90 000 domaines utilisés pour promouvoir du CSAM (Child Sexual Abuse Material) entre février 2020 et juillet 2025
  • Des offres de Cybercrime-as-a-Service (CaaS) : données de cartes bancaires, accès à des systèmes étrangers
  • Les sites étaient entièrement frauduleux : le matériel annoncé (CSAM en « packages » de EUR 17 à EUR 215, de quelques Go à plusieurs To) n’était jamais livré
  • Paiements exigés en Bitcoin
  • Jusqu’à 287 serveurs opérés simultanément au pic, dont 105 en Allemagne

📊 Résultats de l’opération

  • 1 opérateur identifié (mandat d’arrêt international émis)
  • 440 clients identifiés dans le monde entier
  • 373 000+ sites dark web fermés
  • 105 serveurs saisis
  • Appareils électroniques saisis (ordinateurs, téléphones, supports de données)
  • Enquêtes toujours en cours contre plus de 100 individus
  • Profit estimé de l’opérateur : plus de EUR 345 000 provenant d’environ 10 000 clients

🏛️ Rôle d’Europol

Europol a facilité l’échange d’informations entre autorités nationales, fourni un support analytique, coordonné la réponse internationale et joué un rôle clé dans le traçage des paiements en cryptomonnaies.

📋 Type d’article

Communiqué officiel d’Europol relatant une opération de police internationale visant à démanteler un réseau criminel dark web combinant fraude, CSAM et cybercriminalité-as-a-service.

🧠 TTPs et IOCs détectés

TTP

  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1583.004 — Acquire Infrastructure: Server (Resource Development)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
  • T1657 — Financial Theft (Impact)
  • T1650 — Acquire Access (Resource Development)

🔗 Source originale : https://www.europol.europa.eu/media-press/newsroom/news/global-cybercrime-crackdown-over-373-000-dark-web-sites-shut-down