🌐 Contexte

Publié le 10 juin 2026 par Flashpoint sur son blog officiel, cet article accompagne la sortie d’un guide intitulé Identity Is the New Attack Surface: A Guide to Infostealers and Proactive Defense. Il s’appuie sur les données de la Primary Source Collection (PSC) de Flashpoint et sur le rapport 2026 Global Threat Intelligence Report.

📊 Chiffres clés

  • 11,1 millions d’appareils infectés par des infostealers au cours de la dernière année
  • 3,3 milliards de credentials, cookies de session, tokens cloud et artefacts d’identité en circulation sur les marchés illicites
  • 30+ souches d’infostealers actives identifiées dans les écosystèmes underground
  • 48+ milliards de credentials dans la base de données Flashpoint, dont plus d’1 milliard liés à des infostealers
  • 4,2% des credentials exposés via infostealers sont associés à des cookies de navigateur pouvant faciliter le détournement de session
  • Une base de données publiquement exposée début 2026 contenait plus de 149 millions de credentials volés

🦠 Familles de malwares identifiées

Flashpoint identifie les souches d’infostealers les plus actives :

  • Lumma (alias LummaC2 / Remus)
  • StealC
  • Vidar
  • Acreed
  • Rhadamanthys

⚙️ Mécanismes d’attaque

Les infostealers collectent depuis les appareils infectés :

  • Identifiants et mots de passe
  • Cookies de navigateur et tokens de session
  • Métadonnées système et d’hôte
  • Données d’applications, historique de navigation
  • Informations de paiement sauvegardées
  • Données de portefeuilles de cryptomonnaies

Ces données sont packagées en logs d’infostealers, vendus ou partagés sur des forums, marketplaces, canaux Telegram et autres communautés underground. Les logs sont ensuite agrégés, testés et priorisés à grande échelle de manière automatisée, permettant aux acteurs malveillants d’identifier rapidement des accès valides à des systèmes d’entreprise, plateformes SaaS, VPNs et environnements cloud.

Flashpoint qualifie ce phénomène de menace hybride : convergence entre compromission d’identité à grande échelle et exploitation automatisée.

🔄 Cycle d’exploitation

Les accès volés peuvent être :

  • Revendus à des opérateurs de ransomware ou acteurs de fraude
  • Utilisés pour du détournement de session (session hijacking) contournant le MFA
  • Réutilisés sur plusieurs services (credential stuffing)
  • Exploités pour du mouvement latéral au sein des environnements cibles

📰 Nature de l’article

Il s’agit d’une analyse de menace à visée promotionnelle, publiée par Flashpoint pour accompagner la sortie d’un guide téléchargeable. L’objectif principal est de présenter l’ampleur de la menace infostealer et de valoriser les capacités de collecte et d’analyse de Flashpoint (PSC, base de 48 milliards de credentials).

🧠 TTPs et IOCs détectés

TTP

  • T1555 — Credentials from Password Stores (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1110.004 — Brute Force: Credential Stuffing (Credential Access)
  • T1550.004 — Use Alternate Authentication Material: Web Session Cookie (Lateral Movement)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

Malware / Outils

  • Lumma (stealer)
  • StealC (stealer)
  • Vidar (stealer)
  • Acreed (stealer)
  • Rhadamanthys (stealer)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ flashpoint.io — source non référencée (0pts)
  • ✅ 17659 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://flashpoint.io/blog/proactive-defender-guide-infostealers/