Difficile de savoir précisément qui se cache derrière CyberVolk, ni au service de quels intérêts exacts le groupe agit. Traqué depuis fin 2024 par les chercheurs de l’entreprise de cybersécurité SentinelOne, ce collectif de hacktivistes à motivation politique semble porter des intérêts à la fois pro‑russes et pro‑indiens, en exploitant activement « les tensions géopolitiques actuelles pour lancer et justifier ses attaques contre des entités publiques et gouvernementales. »
Ses armes de déstabilisation ? Des attaques DDoS, mais aussi des campagnes de ransomware. Après être resté silencieux pendant la majeure partie de l’année 2025, notamment en raison des mesures de répression prises par Telegram, le groupe a refait surface en août 2025 en proposant à la location une offre de ransomware baptisée VolkLocker (alias CyberVolk 2.x).
Sur le qui-vive, les chercheurs de Sentinel One ont disséqué cette nouvelle campagne et publié un rapport sur le retour du groupe le 10 décembre 2025. Un élément en particulier retient l’attention : un fichier de test, laissé par inadvertance dans les dossiers du malware, contient la clé permettant aux victimes de déchiffrer les fichiers retenus en otage.
D’où provient l’erreur ?
Cette erreur repose sur la manière dont VolkLocker génère les clés de chiffrement.
Ici, pas de génération dynamique, les clés principales sont intégrées en dur sous forme de chaînes hexadécimales dans les fichiers binaires. Une même clé principale permet de chiffrer tous les fichiers du système victime.
Plus préoccupant encore pour les attaquants (et plutôt rassurant pour les victimes), la fonction de sauvegarde utilisée par le ransomware fait une erreur majeure : elle enregistre en clair, dans un fichier temporaire, tout ce dont les attaquants ont besoin pour la rançon. Concrètement, ce fichier contient l’identifiant unique de la victime, la clé de chiffrement principale et l’adresse Bitcoin des assaillants, le tout sans jamais être supprimé à la fin du processus.
Résultat, une victime suffisamment accompagnée techniquement peut, en théorie, récupérer ce fichier, en extraire la clé principale et tenter de déchiffrer ses données sans payer.
Un retour qui inquiète malgré tout
Selon les conclusions des chercheurs, cette sauvegarde de clé en clair ressemble fort à un mécanisme de test qui aurait été intégré par inadvertance dans les versions de production. Les opérateurs de CyberVolk ne se rendent peut‑être même pas compte que leurs affiliés continuent de déployer des variantes de VolkLocker contenant encore cette fameuse fonction de sauvegarde.
L’anecdote prête à sourire, mais le risque de voir VolkLocker se peaufiner et corriger ces erreurs reste bien réel. Malgré des tentatives encore timides de répression, le groupe parvient toujours à diffuser ses outils via Telegram, où il fait tourner un véritable business : en plus de son offre de ransomware as a service, CyberVolk propose des chevaux de Troie et des enregistreurs de frappe, vendus entre 500 et 2 200 dollars, avec au passage des remises de gros pour les plus fidèles clients.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !