🗂️ Contexte

Source : Bureau du Procureur général d’Ukraine (gp.gov.ua), publication du 27 avril 2026. L’opération a été conduite par les procureurs de la région de Lviv, la cyber-police et le Service de sécurité d’Ukraine (SBU).

👥 Acteurs impliqués

Un groupe de trois individus a été démantelé dans la région de Lviv :

  • Un résident de Drohobych âgé de 19 ans, organisateur du schéma
  • Deux complices âgés de 21 et 22 ans

La période d’activité documentée s’étend d’octobre 2025 à janvier 2026.

🎯 Méthode d’attaque

Le groupe exploitait des cookies d’authentification volés pour accéder aux comptes sans saisir de mot de passe. Un programme automatisé était utilisé pour vérifier la validité des accès et évaluer le contenu des comptes (monnaie virtuelle, objets rares).

  • 610 000+ comptes Roblox vérifiés automatiquement
  • 357 fichiers contenant des accès à des comptes sélectionnés découverts lors des perquisitions
  • Ciblage prioritaire des comptes contenant des ressources numériques de valeur

💰 Monétisation

Les accès sélectionnés étaient vendus sur des ressources russes, avec paiement via portefeuille de cryptomonnaie. Le profit estimé atteint près de 10 millions de hryvnias ukrainiennes sur la durée totale des activités.

🔍 Éléments saisis

Lors de 10 perquisitions effectuées :

  • Équipements informatiques et supports de stockage
  • Téléphones mobiles et cartes bancaires
  • Notes manuscrites
  • Plus de 2 500 euros et près de 35 000 dollars américains en espèces

⚖️ Charges retenues

Les suspects sont mis en cause pour :

  • Vol en complot préalable (Art. 185 §4 du Code pénal ukrainien)
  • Accès non autorisé aux systèmes d’information ayant entraîné une fuite de données en complot préalable (Art. 361 §5 du Code pénal ukrainien)

Un quatrième individu (44 ans), acquaintance des suspects, a été arrêté pour possession de stupéfiants avec intention de vente (Art. 307 §1).

📌 Type d’article

Communiqué officiel de type opération de police, relatant l’arrestation d’un groupe cybercriminel spécialisé dans le credential stuffing via cookies volés et la revente de comptes de jeux vidéo.

🧠 TTPs et IOCs détectés

TTP

  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1496 — Resource Hijacking (Impact)
  • T1657 — Financial Theft (Impact)

🔴 Indice de vérification factuelle : 30/100 (basse)

  • ⬜ gp.gov.ua — source non référencée (0pts)
  • ✅ 8415 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://gp.gov.ua/en/posts/na-lvivshhini-zatrimano-xakersku-grupu-yaka-zlamuvala-igrovi-akaunti-i-otrimala-maize-10-mln-grn-pributku-vid-yix-prodazu-v-rosiyu