Les autorités coordonnées par Europol, en coopération avec des agences partenaires dans plusieurs pays, ont démantelé une importante infrastructure cybercriminelle dans ce qui a été décrit comme la dernière phase de l’opération Endgame. L’action s’est déroulée entre le 10 et le 13 novembre 2025 et visait trois services malveillants de premier plan : le voleur d’informations Rhadamanthys, le cheval de Troie d’accès à distance VenomRAT et l’écosystème de botnet Elysium.
Les responsables ont déclaré que plus de 1 025 serveurs avaient été mis hors service ou perturbés, et que 20 domaines avaient été saisis au cours de l’opération. L’infrastructure était responsable de l’infection de centaines de milliers d’appareils et de la collecte de plusieurs millions d’identifiants volés. De nombreuses victimes ne savaient toujours pas que leurs systèmes avaient été compromis.
Parmi les principaux développements a été l’arrestation en Grèce le 3 novembre d’un suspect soupçonné d’être lié au cheval de Troie VenomRAT. Les autorités ont déclaré que cet individu opérait dans un cadre international qui fournissait des outils d’accès à distance à d’autres acteurs cybercriminels. Rhadamanthys, qui a évolué vers une offre de logiciels malveillants en tant que service fin 2022, avait été commercialisé via des forums clandestins à des tarifs d’abonnement mensuels compris entre 300 et 500 dollars. La boîte à outils du voleur d’informations s’est élargie pour inclure des fonctionnalités telles que l’extraction de clés de portefeuille de crypto-monnaie et le vol de cookies de navigateur, ce qui en fait un catalyseur majeur de nouvelles intrusions.
Europol a noté que l’opérateur du voleur d’informations avait accès à plus de 100 000 portefeuilles de cryptomonnaies, d’une valeur potentielle de plusieurs millions d’euros. Elysium, pour sa part, a fourni une infrastructure de botnet qui a permis la distribution à grande échelle de charges utiles malveillantes, le trafic proxy anonyme et les réseaux de contrôle à distance, qui ont compromis à la fois les systèmes informatiques de l’entreprise et, dans certains cas, les environnements technologiques opérationnels.
La participation mondiale des services répressifs a été large, couvrant l’Australie, la Belgique, le Canada, le Danemark, la France, l’Allemagne, la Grèce, la Lituanie, les Pays-Bas, le Royaume-Uni et les États-Unis. Des partenaires du secteur privé ont également fourni des renseignements techniques et des données judiciaires. Certaines entreprises ont signalé que les panneaux dorsaux de Rhadamanthys étaient hors ligne et que plusieurs utilisateurs affiliés se sont retrouvés bloqués hors des systèmes de contrôle des logiciels malveillants, ce qui signifie que la perturbation a directement affecté le modèle commercial du voleur. Le démantèlement d’infrastructures clés devrait réduire la facilité d’accès pour les affiliés qui louent les services de logiciels malveillants et pourrait réduire temporairement le volume de systèmes compromis.
Impact concret et prochaines étapes pour les organisations
L’opération a eu des résultats tangibles au-delà de la saisie de serveurs et de l’arrestation de suspects. Des sources policières ont indiqué que l’infrastructure était liée à des campagnes d’infection dans plus de 226 pays et territoires, Shadowserver ayant signalé 525 303 infections uniques de voleurs de Rhadamanthys entre mars et novembre 2025 et plus de 86 millions d’événements de « vol d’informations » associés.
Des rapports montrent que les données compromises comprenaient des jetons de session, des identifiants de connexion, des mots de passe stockés dans le navigateur et des clés de portefeuille de cryptomonnaies. Plusieurs bases de données d’adresses e-mail et de mots de passe concernés ont été publiées sur des plateformes telles que HaveIBeenPwned, permettant aux individus et aux organisations de vérifier s’ils étaient potentiellement exposés.
Pour les organisations, le démantèlement est l’occasion de vérifier si leurs réseaux ou leurs clients ont été infectés par l’une des familles de logiciels malveillants perturbées. Bien que l’interruption opérationnelle de l’infrastructure réduise le risque immédiat, les groupes cybercriminels peuvent rapidement se reconstruire ou migrer vers de nouvelles plateformes. Les analystes soulignent que les défenseurs doivent rester vigilants et améliorer la détection des comportements des acteurs de la menace, tels que les connexions sortantes anormales, les augmentations soudaines de l’activité d’accès à distance ou l’utilisation inattendue des domaines de commande et de contrôle.
L’accent mis sur les outils d’accès initial tels que les voleurs d’informations et les botnets reflète un changement dans l’économie des logiciels malveillants. Plutôt que de cibler uniquement les charges utiles finales des ransomwares, de nombreuses attaques commencent par le vol d’identifiants et l’infiltration de terminaux, suivis d’un mouvement latéral vers des cibles à plus forte valeur ajoutée. En perturbant la chaîne d’approvisionnement de ces outils, l’opération Endgame cherchait à affaiblir l’ensemble de l’écosystème plutôt qu’à faire tomber des opérateurs uniques. Cependant, les autorités préviennent que ce n’est pas la fin de la menace. Les infrastructures démantelées au cours de cette phase peuvent être redessinées ou remplacées par de nouvelles variantes.
Il est conseillé aux organisations de vérifier les indicateurs des familles de logiciels malveillants concernées dans leurs environnements. Cela inclut la recherche d’outils d’accès à distance hérités, de trafic sortant chiffré inhabituel ou de processus inconnus avec des privilèges au niveau du système. S’assurer que les sauvegardes sont isolées, limiter l’accès administratif et appliquer l’authentification multifacteur sont des mesures de protection fondamentales mais essentielles. La perturbation souligne également l’importance de la collaboration intersectorielle, du partage opportun des renseignements et de la coordination entre les entités publiques et privées.
L’opération Endgame pourrait représenter l’une des plus grandes attaques coordonnées contre les plateformes de logiciels malveillants en tant que service à ce jour. En démantelant l’infrastructure soutenant Rhadamanthys, VenomRAT et Elysium, les forces de l’ordre ont frappé à la base de plusieurs réseaux cybercriminels. Les effets seront probablement mesurés au fil du temps, à mesure que les opérateurs criminels reconstruiront et que les défenseurs évalueront l’assainissement des actifs compromis. Pour les millions de victimes potentiellement touchées, l’opération pourrait offrir un certain soulagement, bien que la lutte plus large contre les logiciels malveillants de base reste loin d’être terminée.