Operation Endgame démantèle SocGholish : plus de 100 serveurs saisis, 14 971 sites assainis

🌐 Contexte

Publié le 17 juin 2026 par l’équipe Proofpoint Threat Research, cet article détaille les résultats de l’Operation Endgame ciblant le groupe cybercriminel TA569, opérateur du malware SocGholish (alias FakeUpdates), suivi par Proofpoint depuis 2018.

🚔 Action de forces de l’ordre

Le 18 juin 2026, une action coordonnée impliquant les Pays-Bas (NHCTU), le Canada (RCMP), les États-Unis (FBI) et l’Allemagne (BKA), avec le soutien d’Europol, a permis :

• La saisie de plus de 100 serveurs et domaines dans le monde entier
• L’assainissement de 14 971 sites web compromis
• La perturbation du botnet SocGholish

Proofpoint a contribué en fournissant des informations aux autorités.

🎭 Profil de TA569

TA569 est décrit comme le pionnier des attaques par injection web (web injects). Son modèle opérationnel repose sur trois composantes :

1. Injections malveillantes SocGholish sur des sites légitimes compromis
2. Traffic Distribution System (TDS) : service Keitaro malveillant opéré par TA2726 et le ParrotTDS propriétaire
3. Payload final : GhoLoader

TA569 est associé publiquement à Evil Corp, groupe cybercriminel russe sanctionné. Les familles de ransomware liées à SocGholish incluent WastedLocker, LockBit et RansomHub.

🔬 Chaînes d’attaque observées

• USA/CAN/AUS (Windows) : Site compromis → TA2726 → TA569 → Injection SocGholish → GhoLoader → Ransomware (environnement AD)
• USA/CAN/GBR/NDL (Windows) : TA569 via Parrot TDS → Injection SocGholish → GhoLoader → Ransomware
• USA (MacOS) : TA2726 → TA2727 ClickFix → FrigidStealer
• GBR (MacOS) : TA2726 → TA2727

🛠️ Mécanisme technique détaillé

TA2726 injecte du JavaScript hautement obfusqué via un faux plugin WordPress dans la réponse principale du site. Ce JavaScript déclenche un chain loader avancé qui aboutit à l’injection d’une URL SocGholish (platform[.]exathomeswebuyarizona[.]com) dans le tag <head> du site compromis, le site agissant comme reverse proxy.

Le Stage 1 SocGholish (obfusqué avec javascript-obfuscator) :

• Profile le navigateur (détection de bots, DevTools, visites précédentes, agents WordPress)
• Collecte des analytics sur les visiteurs
• Attend au moins 10 mouvements de souris
• Remplace le contenu du site par une fausse page de mise à jour navigateur
• Déclenche le téléchargement de GhoLoader Stage 1 (Google Launcher.js) via un iframe caché chargé depuis une URI data:, le fichier étant construit côté client via URL.createObjectURL() — sans trace réseau directe
• GhoLoader Stage 1 est un WSH JScript qui POST vers son C2 (js-new[.]newtoyourgame[.]com) via ActiveXObject('MSXML2.XMLHTTP')

📊 Écosystème des web injects

Beyond TA569, Proofpoint suit une douzaine de clusters impliqués dans des campagnes d’injection web : ClearFake, ZPHP, ErrTraffic, LandUpdate808 (KongTuke), GeoTDS, tdsshop. La technique est en forte croissance depuis 2023, amplifiée par l’émergence de ClickFix en 2024.

📄 Nature de l’article

Article de publication de recherche et de threat intelligence produit par Proofpoint, visant à documenter l’opération de démantèlement, le profil technique de TA569/SocGholish et l’écosystème des web injects à destination des équipes de sécurité.

🧠 TTPs et IOCs détectés

Acteurs de menace

• TA569 (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK
• TA2726 (cybercriminal) —
• TA2727 (cybercriminal) —
• Evil Corp (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1189 — Drive-by Compromise (Initial Access)
• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1110.003 — Brute Force: Password Spraying (Credential Access)
• T1078 — Valid Accounts (Initial Access)
• T1190 — Exploit Public-Facing Application (Initial Access)
• T1505.003 — Server Software Component: Web Shell (Persistence)
• T1176 — Browser Extensions (Persistence)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1036 — Masquerading (Defense Evasion)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1102 — Web Service (Command and Control)
• T1204.001 — User Execution: Malicious Link (Execution)
• T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
• T1608.004 — Stage Capabilities: Drive-by Target (Resource Development)

IOC

• Domaines : platform.exathomeswebuyarizona.com — VT · URLhaus · ThreatFox
• Domaines : js-new.newtoyourgame.com — VT · URLhaus · ThreatFox
• Fichiers : Google Launcher.js

Malware / Outils

• SocGholish (other)
• GhoLoader (loader)
• FrigidStealer (stealer)
• WastedLocker (ransomware)
• LockBit (ransomware)
• RansomHub (ransomware)
• ParrotTDS (other)
• Keitaro TDS (other)

---

🟢 Indice de vérification factuelle : 87/100 (haute)

• ✅ proofpoint.com — source reconnue (liste interne) (20pts)
• ✅ 19134 chars — texte complet (fulltext extrait) (15pts)
• ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 2/2 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (12pts)
• ✅ 14 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : TA569, TA2726, TA2727 (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• platform.exathomeswebuyarizona.com (domain) → VT (21/91 détections)
• js-new.newtoyourgame.com (domain) → VT (17/91 détections) + ThreatFox (FAKEUPDATES)

---

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/sayonara-socgholish-operation-endgame-disrupts-major-cybercrime-operation