Cinq arrestations et des serveurs saisis : les utilisateurs de botnets comme Smokeloader sont dans le viseur d’Europol.
En mai 2024, Europol démantelait une infrastructure cybercriminelle à léchelle mondiale. Aujourd’hui, les forces de l’ordre changent de cible : ce ne sont plus seulement les fournisseurs de services malveillants, mais aussi leurs clients qui font l’objet d’enquêtes et d’arrestations. Le volet deux de l’Opération Endgame vient de frapper.
Des clients piégés par leurs propres outils
Les récents développements de l’Opération Endgame marquent un tournant dans la lutte contre la cybercriminalité. Contrairement à la première phase qui visait les opérateurs d’infrastructures de type botnet, cette nouvelle salve s’attaque aux utilisateurs finaux des services criminels.
Cinq individus ont été arrêtés en Europe et en Amérique du Nord. Leur point commun : avoir eu recours à Smokeloader, un malware modulaire très répandu, vendu en mode « pay-per-install » par le cybercriminel connu sous le pseudonyme Superstar. Les suspects exploitaient les machines infectées pour des activités variées : vol de données, surveillance via webcam, déploiement de ransomwares ou encore minage de cryptomonnaies.
Leur identification a été rendue possible grâce à une base de données saisie lors de la première phase de l’opération. Cette dernière permettait de relier identités numériques et identités réelles, piégeant ainsi des individus convaincus d’avoir échappé à toute surveillance.
Smokeloader, un malware tenace et adaptatif
Smokeloader n’est pas un nouveau venu. Apparue en 2011 sur les forums clandestins, cette menace s’est transformée au fil des années en une véritable boîte à outils pour cybercriminels. Elle agit principalement comme un « loader » – un logiciel chargeant discrètement d’autres malwares sur les systèmes compromis.
Son architecture modulaire permet d’y greffer des fonctions spécifiques : voleurs de mots de passe, ransomwares, outils d’espionnage. Côté techniques d’évasion, Smokeloader mise sur l’obfuscation de code, l’anti-debugging, et la détection d’environnements virtuels. Il communique avec ses serveurs de commande et de contrôle via des requêtes HTTP POST chiffrées.
Après la saisie de plus de 2 000 domaines en mai 2024, certains groupes ont continué d’utiliser Smokeloader grâce à des versions crackées circulant librement. Les récentes attaques recensées visaient des entreprises taïwanaises dans les secteurs de la santé, de l’informatique et de la fabrication.
Une stratégie axée sur la responsabilisation des utilisateurs
Cette nouvelle phase d’Opération Endgame marque une évolution stratégique : les autorités ne se contentent plus de détruire les infrastructures techniques du cybercrime. Elles s’attaquent à ceux qui alimentent l’économie souterraine numérique.
Certains des suspects arrêtés revendaient l’accès aux machines compromises, créant des micro-entreprises criminelles. Face aux preuves accumulées sur leurs appareils personnels, plusieurs d’entre eux ont choisi de coopérer, fournissant des informations précieuses sur les circuits de distribution et les charges malveillantes.
Europol insiste : l’opération est toujours en cours. Un portail public, operation-endgame.com, a été mis en place pour recueillir des témoignages et permettre aux internautes de vérifier s’ils sont concernés par les enquêtes.
Pour en savoir plus
Le suivi de l’opération Endgame conduit à cinq détentions et interrogatoires ainsi qu’à des démantèlements de serveurs
Alors que les actions de mai 2024 ciblaient des acteurs de haut niveau ayant facilité la cybercriminalité, par exemple en déployant des rançongiciels, cette opération de suivi vise un tout autre niveau. Les forces de l’ordre ont agi – et continuent d’agir – contre les criminels qui ont utilisé ces services…
Les autorités ont saisi les opérateurs du malware Smokeloader et les serveurs
Les forces de l’ordre d’Europe et d’Amérique du Nord ont arrêté cinq individus liés au botnet Smokeloader dans le cadre de la deuxième phase de l’opération Endgame. Cette opération de suivi, menée début avril 2025, ciblait spécifiquement les « clients »…
(Re)découvrez également:
Crime organisé et IA générative : la nouvelle menace selon Europol
Le rapport EU-SOCTA 2025 d’Europol alerte sur l’impact de l’IA sur le crime organisé et la nécessité de nouvelles stratégies de réponse.
Renforcer la lutte contre la cybercriminalité : les 7 défis selon Europol et Eurojust
La cybercriminalité en Europe nécessite une coopération accrue, avec des défis tels que la perte de données et l’accès limité aux informations.
💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
