📅 Source : Microsoft On the Issues (blogs.microsoft.com), publié le 24 juin 2026, par Steven Masada, Assistant General Counsel de la Digital Crimes Unit (DCU) de Microsoft.

🎯 Contexte de l’opération

Microsoft annonce une action judiciaire coordonnée visant simultanément deux outils cybercriminels largement utilisés : Amadey (loader/botnet facilitant l’accès initial) et StealC (stealer de mots de passe et données sensibles). Ces deux malwares, développés par des cybercriminels distincts, partagent la même infrastructure. En deux semaines début mai 2026, ils ont été liés à plus de 140 000 ordinateurs infectés dans le monde.

🔍 Méthode d’investigation

  • Utilisation de l’IA (dont Microsoft Copilot) pour analyser rapidement le code malveillant, réduisant des heures ou jours d’analyse à quelques minutes
  • Identification des connexions d’infrastructure communes entre les deux familles de malwares
  • Application de la loi RICO (Racketeer Influenced and Corrupt Organizations Act) pour traiter les deux outils comme faisant partie d’une conspiration unique, permettant de cibler plusieurs acteurs complices simultanément

💥 Résultats de l’opération

  • Plus de 200 serveurs de commande et contrôle (C2) démantelés
  • 18 000+ ordinateurs victimes identifiés et libérés du contrôle criminel
  • Collaboration avec les opérateurs télécoms pour protéger les clients affectés
  • Intégration dans le programme Statutory Automated Disruption de Microsoft pour accélérer la suppression de domaines malveillants

🤝 Partenaires impliqués

  • Europol / EC3 (European Cybercrime Centre) — Operation Endgame (volet StealC)
  • Europol partenaires : Bundeskriminalamt (BKA, Allemagne), Police nationale néerlandaise, Police nationale danoise
  • Partenaires industrie : ESET, BitSight, Lumen, Mitsui Bussan Secure Directions (MBSD), IBM X-Force, Proofpoint

🔗 Lien avec des acteurs étatiques

Microsoft a observé que l’acteur Secret Blizzard (affilié à la Russie) a exploité des infections Amadey pour déployer des malwares personnalisés contre des cibles en Ukraine.

📌 Type d’article

Annonce officielle d’opération de perturbation cybercriminelle par Microsoft DCU. But principal : communiquer sur une action judiciaire et technique coordonnée visant la chaîne d’approvisionnement du cybercrime, en mettant en avant l’usage de l’IA et du cadre légal RICO.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1059 — Command and Scripting Interpreter (Execution)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1110 — Brute Force (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1486 — Data Encrypted for Impact (Impact)

Malware / Outils

  • Amadey (loader)
  • StealC (stealer)

🟢 Indice de vérification factuelle : 65/100 (haute)

  • ✅ blogs.microsoft.com — source reconnue (liste interne) (20pts)
  • ✅ 8967 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Secret Blizzard (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://blogs.microsoft.com/on-the-issues/2026/06/24/scaling-cybercrime-disruption-through-innovation-and-ai/