Démantèlement de 'First VPN', service VPN criminel utilisé par des acteurs ransomware

🌐 Contexte

Le 21 mai 2026, Europol publie un communiqué de presse relatant le démantèlement d’un service VPN criminel connu sous le nom de ‘First VPN’, à l’issue d’une opération internationale coordonnée les 19 et 20 mai 2026, menée sous la direction de la France et des Pays-Bas, avec le soutien d’Europol et d’Eurojust.

🎯 Description du service ciblé

‘First VPN’ était promu sur des forums cybercriminels russophones comme un outil de confiance permettant d’échapper aux forces de l’ordre. Il proposait :

• Des paiements anonymes
• Une infrastructure cachée
• Des services conçus spécifiquement pour un usage criminel

Le service était profondément ancré dans l’écosystème cybercriminel et apparaissait dans presque toutes les grandes enquêtes cybercriminelles soutenues par Europol ces dernières années.

🔍 Déroulement de l’opération

L’enquête a été lancée en décembre 2021. Un joint investigation team (JIT) a été constitué avec le soutien d’Eurojust en novembre 2023. Une Operational Taskforce (OTF) regroupant des enquêteurs de 16 pays a été mise en place à Europol.

Lors des jours d’action :

• L’administrateur du service a été interviewé et une perquisition a été menée en Ukraine
• 33 serveurs liés au service criminel ont été démantelés
• Les noms de domaine suivants ont été saisis : 1vpns.com, 1vpns.net, 1vpns.org, ainsi que des domaines onion associés
• Les enquêteurs ont obtenu accès à la base de données utilisateurs du service

📊 Résultats opérationnels

• 83 paquets de renseignement diffusés
• Informations liées à 506 utilisateurs partagées au niveau international
• 21 enquêtes soutenues par Europol ont progressé grâce aux renseignements obtenus
• Des milliers d’utilisateurs liés à l’écosystème cybercriminel identifiés

🤝 Pays et autorités impliqués

Pays ayant participé aux jours d’action : France, Pays-Bas, Luxembourg, Suisse, Roumanie, Ukraine, Royaume-Uni

Pays ayant soutenu l’enquête : Canada, Allemagne, Roumanie, États-Unis

Partenaire cybersécurité : Bitdefender (via Europol)

📌 Type d’article

Communiqué de presse officiel d’Europol relatant une opération de police internationale visant à démanteler une infrastructure criminelle facilitant des attaques ransomware, des fraudes et des vols de données à l’échelle mondiale.

🧠 TTPs et IOCs détectés

TTP

• T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
• T1090 — Proxy (Command and Control)
• T1036 — Masquerading (Defense Evasion)

IOC

• Domaines : 1vpns.com — VT · URLhaus · ThreatFox
• Domaines : 1vpns.net — VT · URLhaus · ThreatFox
• Domaines : 1vpns.org — VT · URLhaus · ThreatFox

Malware / Outils

• First VPN (tool)

🟢 Indice de vérification factuelle : 78/100 (haute)

• ✅ europol.europa.eu — source reconnue (liste interne) (20pts)
• ✅ 6652 chars — texte complet (fulltext extrait) (15pts)
• ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 1/3 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
• ✅ 3 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 1vpns.com (domain) → VT (10/91 détections)

🔗 Source originale : https://www.europol.europa.eu/media-press/newsroom/news/cybercriminal-vpn-used-ransomware-actors-dismantled-in-global-crackdown