DragonForce : analyse du groupe RaaS et de son écosystème cybercriminel multicouche

🕵️ Contexte

Source : Analyst1 (https://analyst1.com/threat-actors/dragonforce/), publiée le 22 mai 2026. L’article présente une analyse approfondie du groupe DragonForce, opération de ransomware-as-a-service (RaaS) observée depuis août 2023.

🎯 Modèle opérationnel

DragonForce conduit des attaques de double extorsion à l’échelle mondiale, combinant :

• Chiffrement des données des victimes
• Exfiltration et publication des données sur un site de fuite dédié (DLS)

Le groupe opère selon un modèle affilié structuré et scalable, avec une organisation de type cartel.

🔗 Écosystème multicouche

L’intégration d’une plateforme Suppliers (courtiers en accès initial / Initial Access Brokers) fait de DragonForce un écosystème cybercriminel multicouche réunissant :

• Des Initial Access Brokers (IAB)
• Des affiliés
• Des opérateurs principaux

Cette structure permet des cycles d’attaque plus rapides, une scalabilité accrue et une participation élargie. Elle introduit également une variabilité plus grande dans les TTPs et complique l’analyse on-chain en raison de la coexistence de multiples acteurs, modèles de paiement et flux de transactions.

🌍 Attribution géographique

Sur la base des patterns comportementaux, du style de communication et de l’alignement écosystémique, les opérateurs de DragonForce sont évalués comme appartenant à l’écosystème cybercriminel russophone. La base d’affiliés apparaît plus internationalement distribuée, incluant des acteurs anglophones, ce qui distingue DragonForce des groupes russophones historiquement fermés.

📋 Type d’article

Il s’agit d’une analyse de menace publiée par Analyst1, dont le but principal est de documenter le profil, le modèle opérationnel et l’écosystème du groupe DragonForce à des fins de threat intelligence.

🧠 TTPs et IOCs détectés

Acteurs de menace

• DragonForce (cybercriminal) — orkl.eu · Malpedia

TTP

• T1486 — Data Encrypted for Impact (Impact)
• T1567 — Exfiltration Over Web Service (Exfiltration)
• T1650 — Acquire Access (Resource Development)

🔴 Indice de vérification factuelle : 30/100 (basse)

• ⬜ analyst1.com — source non référencée (0pts)
• ✅ 1323 chars — texte partiel (10pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 3 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ✅ acteur(s) identifié(s) : DragonForce (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://analyst1.com/threat-actors/dragonforce/