Des centaines de serveurs mis hors ligne, 27 millions d’identifiants récupérés, 41 millions d’euros en crypto gelés : l’opération Endgame vient de frapper deux des outils les plus répandus dans l’écosystème cybercriminel.

Le 24 juin 2026, Europol a annoncé une nouvelle vague de l’opération Endgame, déjà connue pour avoir démembré plusieurs écosystèmes cybercriminels.

Cette fois-ci, les cibles sont multiples et trois familles de malwares sont concernées : SocGholish, Amadey et StealC.

Microsoft, qui a participé à l’opération en tant que partenaire privé, a publié deux billets de blog autour de cette affaire, annonçant notamment intenter une action civile contre plusieurs opérateurs présumés, en invoquant le RICO, une loi antimafia américaine.

En tout, les forces de l’ordre de six pays et une dizaine d’entreprises de cybersécurité, dont Proofpoint, IBM X-Force et Bitdefender, ont travaillé en parallèle pendant des semaines avant de rendre l’opération publique.

Le bilan est significatif : 326 serveurs et 142 domaines neutralisés, plus de 200 infrastructures de contrôle et de commande identifiées et coupées, 27 millions d’identifiants volés saisis.

mammotion-logo-white
LUBA mini 2 AWD 1500
Les Prime Day sont là ! LUBA mini 2 AWD 1500
Jusqu’au 26 juin, le LUBA mini 2 AWD 1500 perd 200 € ! Sans fil périmétrique, 360° LiDAR & double caméra IA, pente 80%, DropMow, auto cartographie… Bref, elle a tout ce qu’il faut pour vous permettre de ne plus jamais tondre votre pelouse !
le LUBA mini 2 AWD 1500 en promo ici

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Ce que faisaient vraiment ces deux outils

Amadey, StealC et SocGholish sont ce qu’on appelle des malwares-as-a-service : n’importe quel acteur malveillant peut les louer, configurer ses cibles, et récupérer les données volées via un panneau web.

SocGholish se distingue des deux autres par son vecteur d’entrée : ce loader se propage via de fausses mises à jour de navigateur injectées dans des sites WordPress compromis, dont les propriétaires ignorent souvent héberger du code malveillant.

Amadey fonctionne différemment. Distribué principalement par phishing, il s’installe en premier sur la machine et sert ensuite à télécharger d’autres malwares selon les instructions de l’opérateur.

StealC, lui, est un infostealer : il aspire les mots de passe enregistrés, cookies de session, données de cartes bancaires, portefeuilles crypto, jetons d’authentification depuis les navigateurs. Amadey et StealC sont fréquemment déployés ensemble dans la même chaîne d’infection.

Ces trois outils visent essentiellement des machines personnelles, espérant qu’un salarié infecté ait stocké ses accès VPN d’entreprise ou ses cookies de connexion dans son navigateur.

Des données qui ont permis de s’introduire dans différents réseaux d’entreprise avec des identifiants légitimes sans déclencher d’alerte et, dans certains cas, d’aboutir au déploiement de ransomware, comme le signale le rapport de Proofpoint émis à l’occasion de cette opération de démantèlement.

Les chercheurs expliquent avoir identifié une faille dans le panneau C2 de StealC, qui a été utilisée par les autorités pendant l’opération pour accéder aux serveurs.

Frapper la chaîne plutôt que les maillons

Ce qui distingue cette vague d’Endgame des précédentes, c’est moins la technique que la doctrine. Plutôt que de cibler chaque menace dans une procédure séparée, Microsoft et ses partenaires ont notamment traité Amadey et StealC comme des composants d’un même système.

Microsoft revendique aussi l’usage de Copilot dans l’analyse des binaires malveillants pour extraire les configurations cachées et identifier les serveurs C2. Une approche qui s’inscrit dans une tendance plus large : l’industrialisation des outils d’analyse forensique côté défenseurs, en réponse à l’industrialisation du côté attaquant.

Avec ce démantèlement coordonné, les défenseurs espèrent renforcer la durabilité des effets. Toutefois, les opérateurs de ce type d’infrastructure ont l’habitude de se reconstituer en quelques semaines après une opération de ce type.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !