Une opération mondiale neutralise AVCheck et ses services, outils clés des cybercriminels pour échapper aux antivirus et diffuser leurs malwares en toute discrétion.

Le 27 mai 2025, les forces de l’ordre de plusieurs pays ont porté un coup majeur à l’écosystème cybercriminel en saisissant les domaines de plusieurs services de cryptage et de contre-antivirus (CAV), notamment AvCheck[.]net, Cryptor[.]biz et Crypt[.]guru. Comme mentionné dans l’article de Security Affairs ci-dessous, cette initiative, baptisée Operation Endgame, s’inscrit dans une stratégie globale de démantèlement des infrastructures facilitant le déploiement de logiciels malveillants.

Des services au cœur de l’arsenal des cybercriminels

Les services CAV comme AVCheck permettaient aux cybercriminels de tester leurs malwares contre de multiples moteurs antivirus, sans déclencher d’alerte. Une fois leur code validé comme « indétectable », ils pouvaient le déployer en toute discrétion dans des campagnes d’intrusion ou de rançongiciels. Les services de « crypting » tels que Cryptor et Crypt.guru allaient plus loin en rendant le malware opaque pour les outils d’analyse, via des techniques d’obfuscation et de chiffrement.

Cette double stratégie – tester puis dissimuler – constitue une étape essentielle dans la chaîne de production de logiciels malveillants. Elle permet à des acteurs malveillants, parfois peu techniques, de se procurer des outils optimisés pour contourner les défenses les plus avancées.

Une coopération policière internationale inédite

L’opération, coordonnée par le Department of Justice (DoJ) américain avec la participation des polices néerlandaise, finlandaise, française, allemande, portugaise et ukrainienne, a permis de saisir quatre domaines et les serveurs associés. Les sites visés affichent désormais un message de saisie judiciaire, typique des interventions du FBI.

Pour les forces de l’ordre, frapper ces services en amont revient à assécher une partie essentielle de l’économie cybercriminelle. Comme l’a mentionné un agent du FBI : « Les cybercriminels ne se contentent pas de créer des malwares, ils les perfectionnent pour maximiser leur impact ».

Le démantèlement d’AVCheck s’inscrit dans une série d’opérations coup de poing : dans la même semaine, les autorités ont également neutralisé Lumma Stealer (un info-stealer diffusé à grande échelle), démantelé l’infrastructure de DanaBot (malware-as-a-service) et saisi des centaines de domaines malveillants.

Pour en savoir plus

La police a démantelé plusieurs services anti-virus (CAV) populaires, dont AvCheck

Le 27 mai 2025, les autorités ont saisi des sites de services de chiffrement (dont AvCheck, Cryptor et Crypt.guru) utilisés par des cybercriminels pour tester leurs capacités d’évasion de logiciels malveillants. Une opération internationale de répression menée par le ministère américain de la Justice a démantelé…

Lire la suite sur Security Affairs

Le service antivirus le plus performant a été perturbé par une suppression mondiale

AVCheck, un service à grande échelle utilisé par les cybercriminels pour vérifier si leurs logiciels malveillants sont détectables par divers antivirus, a été saisi et mis hors ligne mardi par une action policière coordonnée à l’échelle mondiale. Les autorités ont déclaré jeudi…

Lire la suite sur CyberScoop

(Re)découvrez également:

Opération Endgame : un coup dur aux infrastructures des rançongiciels

300 serveurs saisis et 3,5 millions d’euros confisqués : l’opération Endgame frappe le cœur des réseaux techniques du rançongiciel.

Lire la suite sur dcod.ch

Opération Endgame : la chasse aux clients du cybercrime est lancée

Cinq arrestations et des serveurs saisis : les utilisateurs de botnets comme Smokeloader sont dans le viseur d’Europol.

Lire la suite sur dcod.ch

Lumma Stealer démantelé : coup dur pour le MaaS cybercriminel mondial

Une opération internationale désactive Lumma Stealer, malware redoutable en MaaS, marquant une avancée majeure dans la lutte contre le vol de données.

Lire la suite sur dcod.ch