🕵️♂️ Le retour du revenant
🧟♂️ DanaBot, l’un des trojans bancaires les plus tenaces de la décennie, vient tout juste de ressurgir des profondeurs du dark web, prêt à retenter sa chance sur nos bons vieux PC Windows.
Il était censé être mort, neutralisé, éradiqué par les autorités lors de l’opération Endgame en mai dernier.
Mais visiblement, le cybercrime ne lit pas les communiqués de presse d’Europol.
Après six mois de silence radio, les analystes de BleepingComputer ont repéré une nouvelle version active en campagne. Même code de base, nouveaux modules, et un soupçon de vengeance dans les paquets.
On dirait bien que les développeurs ont profité de la trêve pour… refactoriser leur malware comme s’il s’agissait d’une startup en R&D.
🧬 Un vieux trojan qui s’est refait une jeunesse
Pour mémoire, DanaBot est un malware modulaire apparu en 2018, initialement taillé pour le vol d’identifiants bancaires.
À l’époque, il se faisait passer pour un petit cheval de Troie de plus dans la mêlée. Sauf qu’il a vite pris de l’ampleur :
- 🏦 Injection de formulaires dans les pages de banques,
- 🎯 Détournement de sessions RDP,
- 🧩 Modules additionnels selon les besoins du moment (keylogger, proxy, vol de cookies, etc.),
- 📦 Et surtout un loader redoutablement flexible pour installer d’autres malwares (ransomware, stealer, RAT, au choix).
L’opération Endgame avait mis son infrastructure KO technique : serveurs C2 saisis, domaines bloqués, quelques arrestations à la clé.
Mais comme souvent dans la saga du cybercrime, les développeurs n’ont pas attendu les soldes pour redéployer une nouvelle version, hébergée sur une infrastructure plus éclatée et bien plus discrète.
Le code montre des adaptations contre les sandbox et antivirus, une communication réseau remaniée, et un chiffrement plus opaque des données volées.
Bref : même combat, nouvelles armes.
⚔️ Les leçons d’Endgame : “tuer le botnet, pas la volonté”
L’opération Endgame a été un chef-d’œuvre technique et de coordination.
Sauf qu’elle illustre parfaitement la dure réalité du terrain : on peut couper la tête d’un réseau, pas celle de son hydre.
Les cybercriminels ont aujourd’hui une agilité qui ferait rougir bien des DSI : infrastructures as-code, redondance géographique, relais chiffrés, hébergements éphémères sur des VPS low-cost…
Et quand la police confisque les serveurs, ils restaurent les backups comme n’importe quel bon admin après une panne de RAID.
👉 Moralité : démanteler, c’est bien. Empêcher la régénération, c’est mieux.
Et là-dessus, DanaBot coche toutes les cases du “retour d’expérience raté”.
🧑💻 Le nouveau mode opératoire
Les campagnes observées depuis octobre 2025 montrent une distribution plus subtile :
- 📧 Emails d’hameçonnage déguisés en notifications de factures ou livraisons,
- 🪤 Pièces jointes malicieuses contenant des macros ou des exécutables signés,
- 🌐 Sites compromis servant de relais ou de serveurs de commande (C2),
- 💰 Objectif principal : récupérer identifiants, cookies de session et tokens d’accès bancaires ou pro.
DanaBot s’exécute désormais sans persistance initiale, afin de tromper les outils de détection comportementale, puis s’installe discrètement une fois le poste jugé “intéressant”.
Une stratégie “patient zéro minimal”, très à la mode dans les cercles cyber.
Les premiers échantillons montrent aussi une compatibilité accrue avec Windows 11, preuve que les auteurs suivent attentivement l’évolution des environnements cibles (et peut-être tes patchs du mardi).
🧩 Et pour les entreprises ?
C’est le moment de ressortir les bonnes vieilles pratiques de défense, mais cette fois avec un soupçon de réalisme :
- 🧱 Bloquez les macros par défaut dans Office,
- 🚫 Filtrez les exécutables dans les mails,
- 🔒 Renforcez la surveillance des flux sortants (les C2 aiment les ports non standards),
- 🕵️♀️ Mettez vos proxys et EDR à jour (et vérifiez qu’ils sont bien actifs),
- 💡 Et surtout, sensibilisez les utilisateurs — les vrais, pas ceux des PowerPoint.
Le vecteur humain reste la première backdoor du SI. Et DanaBot adore les clics trop confiants.
🧠 En conclusion : les malwares ne meurent jamais, ils pivotent
DanaBot revient comme une série Netflix qu’on n’avait pas demandée mais qu’on regarde quand même, juste pour voir comment ça finit.
L’opération Endgame avait offert une saison pleine d’action et d’arrestations, mais le cliffhanger était inévitable : les auteurs sont toujours là, et leur code aussi.
Ce retour rappelle une évidence : tant qu’il y a des mots de passe réutilisés, des macros ouvertes et des backups non testés, il y aura du DanaBot dans la nature.
🔗 Pour aller plus loin
📰 Relisez notre article d’analyse sur l’Opération Endgame :
👉 Cybercriminalité et opérations d’envergure : quand les autorités sortent les crocs
