🌐 Contexte

Source : Europol (europol.europa.eu), publication du 21 mai 2026. Cette annonce s’inscrit dans le cadre d’une opération internationale de démantèlement d’infrastructure cybercriminelle.

🔍 Description de la menace

‘First VPN’ était un service VPN illicite promu pendant plusieurs années sur des forums cybercriminels russophones comme outil de discrétion face aux forces de l’ordre.

Ses caractéristiques principales :

  • Paiements anonymes acceptés
  • Infrastructure cachée conçue pour échapper aux investigations
  • Services explicitement orientés vers un usage criminel

🎯 Implication dans la cybercriminalité

Le service était profondément intégré dans l’écosystème cybercriminel, apparaissant dans presque toutes les grandes enquêtes cybercriminelles soutenues par Europol. Il était notamment utilisé par des acteurs ransomware.

🏛️ Opération

L’infrastructure a été démantelée dans le cadre d’une opération internationale coordonnée (« global crackdown »), menée avec le soutien d’Europol.

📌 Type d’article

Cet article est une annonce officielle d’opération de police publiée par Europol, visant à informer sur le démantèlement d’une infrastructure criminelle facilitant l’anonymisation des cybercriminels.

🧠 TTPs et IOCs détectés

TTP

  • T1090 — Proxy (Command and Control)

Malware / Outils

  • First VPN (tool)

🔴 Indice de vérification factuelle : 33/100 (basse)

  • ✅ europol.europa.eu — source reconnue (liste interne) (20pts)
  • ✅ 429 chars — extrait court (5pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 1 TTP(s) MITRE (8pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.europol.europa.eu/media-press/newsroom/news/cybercriminal-vpn-used-ransomware-actors-dismantled-in-global-crackdown