🌐 Contexte

Source : FBI Atlanta (fbi.gov), publiée le 10 avril 2026. Il s’agit d’une annonce officielle relative à une opération judiciaire internationale coordonnée entre les États-Unis et l’Indonésie, une première entre ces deux pays dans le domaine de la cybercriminalité.

🎯 Nature de la menace

L’opération ciblait le kit de phishing W3LL, un outil cybercriminel vendu en tant que service permettant à ses utilisateurs de déployer des fausses pages de connexion imitant des portails légitimes. Pour environ 500 dollars, les acheteurs pouvaient accéder au kit et l’utiliser pour :

  • Capturer les identifiants et mots de passe des victimes
  • Voler les données de session pour contourner l’authentification multi-facteurs (MFA)
  • Maintenir un accès persistant aux comptes compromis

🏪 Infrastructure criminelle

Le kit était soutenu par une marketplace en ligne nommée W3LLSTORE, active de 2019 à 2023, qui facilitait :

  • La vente de plus de 25 000 comptes compromis
  • La revente d’accès non autorisés, y compris des connexions Bureau à distance (RDP)

Après la fermeture de W3LLSTORE en 2023, l’opération a continué via des plateformes de messagerie chiffrée, avec le kit rebaptisé et activement commercialisé. Entre 2023 et 2024, plus de 17 000 victimes ont été ciblées dans le monde.

💰 Impact

  • Plus de 20 millions de dollars de tentatives de fraude
  • Le développeur collectait et revendait lui-même l’accès aux comptes compromis

⚖️ Action judiciaire

  • Le FBI Atlanta, avec le soutien du Bureau du Procureur des États-Unis pour le District Nord de Géorgie, a identifié et saisi l’infrastructure du service de phishing
  • En coordination avec la Police Nationale Indonésienne, le suspect G.L. (développeur présumé) a été détenu et des domaines clés liés à l’opération ont été saisis
  • Il s’agit de la première action coordonnée entre les États-Unis et l’Indonésie contre un développeur de kit de phishing

📌 Type d’article

Communiqué officiel de type opération de police, dont le but principal est d’annoncer publiquement le démantèlement d’une infrastructure cybercriminelle internationale et la détention de son développeur présumé.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • G.L. (cybercriminal) —

TTP

  • T1566 — Phishing (Initial Access)
  • T1056.003 — Input Capture: Web Portal Capture (Collection)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1586.001 — Compromise Accounts: Social Media Accounts (Resource Development)
  • T1110 — Brute Force (Credential Access)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)

Malware / Outils

  • W3LL Phishing Kit (other)

🟡 Indice de vérification factuelle : 63/100 (moyenne)

  • ✅ fbi.gov — source reconnue (liste interne) (20pts)
  • ✅ 2740 chars — texte partiel (fulltext extrait) (13pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : G.L. (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.fbi.gov/contact-us/field-offices/atlanta/news/fbi-atlanta-indonesian-authorities-take-down-global-phishing-network-behind-millions-in-fraud-attempts