📰 Source : BleepingComputer | Date de publication : 20 mai 2026 | Contexte : Opération conjointe entre la cyberpolice ukrainienne et les forces de l’ordre américaines ciblant un opérateur d’infostealer.

🎯 Faits principaux

Un suspect de 18 ans, résidant à Odessa (Ukraine), a été identifié comme opérateur d’une campagne de malware infostealer active entre 2024 et 2025. La cible principale était les utilisateurs d’une boutique en ligne basée en Californie.

💥 Impact de l’opération

  • 28 000 comptes clients compromis
  • 5 800 comptes utilisés pour effectuer des achats non autorisés
  • 721 000 USD de transactions frauduleuses
  • 250 000 USD de pertes directes (incluant les chargebacks)

🔧 Mode opératoire

  • Infection silencieuse des appareils des victimes via un infostealer
  • Vol de credentials de connexion, cookies de session, tokens de session, portefeuilles crypto et informations de paiement
  • Les données volées permettaient de contourner le MFA via réutilisation des tokens de session
  • Les données étaient traitées, vendues via des ressources en ligne spécialisées et des bots Telegram
  • Le suspect administrait l’infrastructure de traitement, vente et exploitation des données volées
  • Des transactions en cryptomonnaies avec des complices ont été documentées

🔍 Mesures judiciaires

  • Deux perquisitions effectuées aux domiciles du suspect
  • Saisie de : téléphones mobiles, équipements informatiques, cartes bancaires, supports de stockage électroniques
  • Preuves incluant : accès aux ressources de vente de données, gestion de comptes compromis, journaux d’activité serveur, comptes sur des exchanges de cryptomonnaies
  • Aucune arrestation formelle annoncée à ce stade

📌 Type d’article : Opération de police. Cet article documente une action judiciaire conjointe ukraino-américaine visant à identifier et démanteler une opération cybercriminelle de vol de données à grande échelle.

🧠 TTPs et IOCs détectés

TTP

  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1657 — Financial Theft (Impact)
  • T1566 — Phishing (Initial Access)

Malware / Outils

  • Infostealer (non nommé) (stealer)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 2940 chars — texte partiel (10pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/ukraine-identifies-infostealer-operator-tied-to-28-000-stolen-accounts/