🌐 Contexte

Le 24 juin 2026, Europol publie un communiqué officiel annonçant une nouvelle phase de l’Operation Endgame, la plus grande opération internationale jamais menée contre les facilitateurs de ransomware. L’opération a impliqué des forces de l’ordre de Canada, Danemark, Allemagne, Pays-Bas, Royaume-Uni et États-Unis, coordonnées par Europol et Eurojust, avec la participation de partenaires privés dont Microsoft, Shadowserver, Proofpoint, IBM X-Force, Bitdefender et d’autres.

🎯 Actions menées

Sur une période de deux semaines, les actions coordonnées ont permis :

  • 326 serveurs et 142 domaines neutralisés
  • 27 millions de credentials volés récupérés
  • EUR 41 millions (USD 47 millions) en cryptoactifs criminels identifiés et bloqués
  • 14 971 sites web infectés assainis (restaurants, garages, services du quotidien)
  • Désactivation du botnet SocGholish par prise de contrôle des noms de domaine et mise hors ligne des serveurs
  • Notifications aux victimes via HaveIBeenPwned, DIVD, Spamhaus, CheckjeHack, NoMoreLeaks, Shadowserver et NL-NCSC

🦠 Malwares ciblés

SocGholish (alias FakeUpdates) — dropper/loader :

  • Distribution via de fausses mises à jour de navigateurs sur des sites WordPress compromis
  • Lié au groupe cybercriminel russe Evil Corp, également associé à Zeus, Dridex et des opérations de ransomware et blanchiment d’argent

StealC — stealer avec fonction dropper :

  • Propagé via de multiples vecteurs d’attaque
  • Conçu pour extraire mots de passe, données d’accès et identités numériques
  • Utilisé pour le trafic de données et la fraude

Amadey — dropper/loader :

  • Diffusé principalement via des campagnes de phishing
  • Capable d’introduire des malwares additionnels et de dérober des données sensibles
  • En tandem avec StealC : plus de 140 000 ordinateurs infectés dans les deux premières semaines de mai 2026 selon Microsoft

🏗️ Modèle opérationnel ciblé

L’opération a ciblé le modèle “cybercrime-as-a-service”, en s’attaquant à la chaîne d’assemblage complète permettant le déploiement de ransomwares, la fraude financière et les attaques contre les infrastructures critiques, plutôt qu’aux seules menaces individuelles.

📋 Type d’article

Communiqué de presse officiel d’Europol visant à informer le public et les professionnels de la cybersécurité des résultats d’une opération internationale de démantèlement d’infrastructure criminelle.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566 — Phishing (Initial Access)
  • T1189 — Drive-by Compromise (Initial Access)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1584.001 — Compromise Infrastructure: Domains (Resource Development)
  • T1608.004 — Stage Capabilities: Drive-by Target (Resource Development)

Malware / Outils

  • SocGholish (loader)
  • StealC (stealer)
  • Amadey (loader)
  • Zeus (botnet)
  • Dridex (botnet)

🟢 Indice de vérification factuelle : 65/100 (haute)

  • ✅ europol.europa.eu — source reconnue (liste interne) (20pts)
  • ✅ 8459 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Evil Corp (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.europol.europa.eu/media-press/newsroom/news/global-cyber-strike-disrupts-socgholish-amadey-and-stealc-malware-networks