Si vous pensiez que la cybercriminalité était une partie d’échecs lente et discrète, détrompez-vous. En mai 2025, les forces de l’ordre et les géants de la tech ont fait tomber les gants. Deux opérations de grande envergure ont secoué le dark web et fait transpirer plus d’un pirate. Coup sur coup, les autorités américaines ont inculpé un groupe russe derrière le malware DanaBot, tandis que Microsoft et Europol ont déclenché une chasse à l’infrastructure surnommée Operation Endgame. Ce n’est pas un film Marvel, mais presque.
🧨 DanaBot : le malware qui valait 300 000 infections
D’abord, DanaBot. Ce petit bijou de malware bancaire existe depuis 2018, mais il a connu une seconde jeunesse grâce aux services de malware-as-a-service. En clair, vous ne codez même plus votre virus : vous le louez. Une version SaaS du mal.
Le 23 mai, le Département de la Justice américain a inculpé 16 ressortissants russes, soupçonnés d’être les architectes et les distributeurs de DanaBot. Parmi eux, des profils bien connus dans la scène cybercriminelle de l’Europe de l’Est. Leur petit business aurait infecté plus de 300 000 machines, principalement aux États-Unis, mais aussi en Europe.
DanaBot n’est pas un simple voleur de mots de passe : il interceptait les connexions bancaires, prenait des captures d’écran, siphonnait les cookies, et injectait du code dans les navigateurs. Une vraie usine du vol numérique. Le malware s’est notamment répandu via des campagnes d’e-mails piégés, un vecteur que nous avons analysé dans notre dossier sur les ransomware.
🎯 Operation Endgame : la traque numérique version SWAT
Quelques heures plus tard, Microsoft et Europol ont fait parler la poudre numérique avec l’opération Endgame. Plus de 1 300 noms de domaine et 300 serveurs liés à la cybercriminalité ont été neutralisés. L’opération visait les infrastructures C2 (Command and Control) utilisées par les malwares les plus virulents du moment, notamment Lumma, IcedID, QBot, et consorts.
Cette offensive a mobilisé des unités cyber de plusieurs pays européens, avec le soutien de plateformes comme Abuse.ch, Spamhaus, et bien sûr des GAFAM. L’idée : frapper là où ça fait mal, non pas chez les petits exécutants, mais dans la logistique des campagnes malveillantes.
En d’autres termes : couper le robinet avant que la cyberboue ne se répande. Ce type de stratégie « infrastructure first » rejoint les recommandations que nous donnions dans notre article sur la sécurité des flux internes AD.
🧪 Le cybercrime industrialisé
Ces affaires démontrent une réalité que beaucoup refusent de regarder en face : la cybercriminalité est une industrie. Elle a ses développeurs, ses équipes marketing, son support client (si si !), ses dashboards analytiques, et ses canaux de distribution. Vous voulez un ransomware clé en main avec tableau de pilotage ? C’est possible. Besoin de logs pour vos tests ? 2 $ les 10 000 lignes.
Comme on le soulignait dans notre article sur le Shadow IT, tout ce qui contourne l’IT officiel peut devenir un levier d’attaque. Et ces groupes le savent très bien.
🧯 Que retenir (et surveiller) ?
- La coopération internationale fonctionne. Malgré la lenteur apparente, des têtes tombent.
- Les infrastructures sont le talon d’Achille des cybercriminels. Ciblez les serveurs C2, et vous les mettez à genoux.
- Les malwares ne sont plus artisanaux. Ils sont industrialisés, maintenus, mis à jour, et souvent vendus sur abonnement.
- La menace reste constante. Aujourd’hui DanaBot, demain un clone boosté à l’IA (voir notre article sur cybersécurité & IA).
🎬 Conclusion : La cyber-patrouille est en marche
Cette série d’interventions ne signifie pas que la guerre est gagnée. Mais elle montre que les cybercriminels ne peuvent plus opérer dans l’impunité la plus totale. Les États s’organisent, les éditeurs réagissent, et même le grand public commence à comprendre que la cybersécurité, ce n’est pas juste une case à cocher.
Le message est clair : le jeu change de camp. Et cette fois, ce sont les défenseurs qui mènent la danse. Pour combien de temps ? Ça, on vous le dira dans un prochain article.
