🌐 Contexte

Source : BleepingComputer, publié le 24 juin 2026. Cet article couvre la dernière phase de l’Opération Endgame, une opération coordonnée de forces de l’ordre et de partenaires privés ciblant des infrastructures cybercriminelles liées aux malwares Amadey et StealC, ainsi qu’au loader SocGholish (FakeUpdates).

🎯 Périmètre de l’opération

L’opération a impliqué des autorités de plusieurs pays :

  • Canada, Danemark, Allemagne, Pays-Bas, Royaume-Uni, États-Unis
  • Coordination par Europol et Eurojust

Partenaires privés : Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned, Spamhaus.

📊 Résultats chiffrés

  • 326 serveurs et 142 domaines perturbés
  • Plus de €41 millions (~$47M) en cryptomonnaies liées à des activités criminelles identifiés
  • Environ 27 millions de credentials récupérés, volés sur plus de 385 000 systèmes compromis
  • Plus de 200 domaines C2 et adresses IP malveillants identifiés par Microsoft
  • Environ 50 domaines et 200 serveurs C2 actifs affectés selon ESET
  • Plus de 140 000 appareils infectés détectés sur les deux premières semaines de mai 2026

🦠 Malwares ciblés

  • Amadey : botnet utilisé pour l’accès initial et le déploiement de malwares additionnels, exploité par des groupes ransomware et des acteurs étatiques
  • StealC : stealer de credentials, portefeuilles crypto et données sensibles, vendu en MaaS ; largement utilisé dans des attaques ClickFix (fausses vidéos TikTok, attaques FileFix)
  • SocGholish (FakeUpdates) : loader infectant les visiteurs via des sites compromis affichant de fausses mises à jour de navigateur

💼 Modèle opérationnel

Amadey et StealC sont distribués via des opérations Malware-as-a-Service (MaaS) : les affiliés paient pour accéder à des builders, panneaux de gestion, support et infrastructure. Les credentials volés via StealC sont revendus sur des marchés souterrains et via des Initial Access Brokers (IABs).

🔗 Contexte élargi

L’Opération Endgame avait précédemment ciblé : DanaBot, Bumblebee, Rhadamanthys, VenomRAT, Elysium, SmokeLoader. Microsoft a agi via une action civile aux États-Unis pour obtenir des ordonnances judiciaires permettant les saisies de domaines.

📰 Nature de l’article

Article de presse spécialisée relatant une opération de police internationale, visant à informer la communauté cybersécurité sur le démantèlement d’infrastructures MaaS majeures et leurs impacts opérationnels.

🧠 TTPs et IOCs détectés

TTP

  • T1189 — Drive-by Compromise (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1566 — Phishing (Initial Access)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)

Malware / Outils

  • Amadey (botnet)
  • StealC (stealer)
  • SocGholish (loader)
  • DanaBot (other)
  • Bumblebee (loader)
  • Rhadamanthys (stealer)
  • VenomRAT (rat)
  • Elysium (other)
  • SmokeLoader (loader)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 4519 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/amadey-stealc-malware-operations-disrupted-in-operation-endgame-action/

🖴 Archive : https://web.archive.org/web/20260625071405/https://www.bleepingcomputer.com/news/security/amadey-stealc-malware-operations-disrupted-in-operation-endgame-action/