Opération SIMCARTEL : Europol neutralise 49 millions de faux comptes

Europol a neutralisé un réseau CaaS basé en Lettonie, responsable de 49 millions de faux comptes et de fraudes massives dans toute l’Europe.

Un réseau international au service du crime organisé

L’opération baptisée SIMCARTEL a mis fin à l’activité d’un réseau de cybercriminalité structuré offrant des services de « crime-as-a-service ». Selon Europol, une journée d’action menée le 10 octobre 2025 en Lettonie a permis l’arrestation de cinq ressortissants lettons et la saisie d’une infrastructure utilisée pour des crimes contre des milliers de victimes à travers l’Europe. Deux autres suspects ont été interpellés dans le cadre de cette même opération.
Les enquêteurs d’Autriche, d’Estonie et de Lettonie, épaulés par Europol et Eurojust, ont attribué à ce réseau plus de 1 700 cas de fraude en Autriche et 1 500 en Lettonie. Les pertes s’élèvent à environ 4,5 millions d’euros en Autriche et 420 000 euros en Lettonie.
L’enquête a conduit à la saisie de 1 200 boîtiers SIM-box, 40 000 cartes SIM actives et plusieurs centaines de milliers de cartes supplémentaires, ainsi que de cinq serveurs et de deux sites Web utilisés par le réseau (gogetsms.com et apisim.com). Plus de 430 000 euros sur des comptes bancaires et 333 000 dollars en cryptomonnaies ont été gelés, tandis que quatre véhicules de luxe ont été confisqués.
Selon les autorités, plus de 49 millions de comptes en ligne ont été créés via cette infrastructure illégale. Les numéros fournis, enregistrés dans plus de 80 pays, permettaient de dissimuler l’identité et la localisation des fraudeurs.

Des services utilisés pour une multitude de crimes

Le réseau proposait des numéros de téléphone permettant à ses clients de mener des activités criminelles variées. Ce service de SIM-box a servi à commettre des fraudes financières, des escroqueries sur les plateformes de revente, des extorsions, des campagnes de phishing et smishing, ainsi que la diffusion de contenus pédopornographiques.
Les enquêteurs ont recensé plusieurs schémas de fraude : des ventes fictives sur des sites d’occasion, de fausses alertes WhatsApp où les escrocs se faisaient passer pour des enfants en détresse (« daughter-son scam »), des investissements frauduleux, des boutiques et banques fictives, ou encore de fausses identités policières utilisées pour soutirer des fonds.
Les cartes SIM anonymisées permettaient de valider de faux comptes et de multiplier les canaux de communication tout en échappant à la détection. Ce modèle technique rendait la traçabilité particulièrement complexe. Les fraudeurs utilisaient également des logiciels d’accès à distance pour prendre le contrôle des appareils de leurs victimes.

Une infrastructure technique sophistiquée

Le réseau démantelé se distinguait par son haut niveau d’organisation et de technicité. Le service en ligne présentait un design professionnel et une interface commerciale complète. Derrière cette façade, une logistique complexe permettait l’acquisition de milliers de cartes SIM dans près de 80 pays afin de les louer à d’autres groupes criminels.
Le dispositif reposait sur une architecture redondante composée de plusieurs serveurs et d’une répartition géographique étudiée. Les plateformes hébergeant les services illégaux ont été saisies et remplacées par des pages d’avertissement affichées par les autorités judiciaires. L’un des principaux suspects avait déjà fait l’objet d’une enquête en Estonie pour extorsion et incendie criminel.

Une coopération internationale déterminante

L’opération a mobilisé les forces de l’ordre d’Autriche, d’Estonie, de Finlande et de Lettonie, avec le soutien d’Europol et d’Eurojust. Ces agences ont coordonné la planification, fourni un appui analytique, une assistance technique et un soutien logistique. Des spécialistes ont été déployés à Riga pour accompagner les autorités lettones.
La Shadowserver Foundation a collaboré avec Europol pour désactiver l’infrastructure numérique du réseau et afficher une page d’avertissement sur les sites illégaux. Les analyses OSINT et les échanges de données massives ont permis de cartographier le service en ligne et de recueillir les preuves numériques.
Ce succès illustre l’efficacité de la coopération transnationale face à des réseaux criminels exploitant la technologie pour masquer leur identité et industrialiser la fraude. Il confirme également la montée en puissance des modèles de cybercriminalité à la demande, où des services complets – anonymisation, comptes, communications – peuvent être loués en ligne.

Shadowserver Foundation : organisme de veille et d’intervention cyber

Fondée en 2004, cette organisation à but non lucratif collecte et analyse à l’échelle internationale des données sur les botnets, malwares, vulnérabilités et activités criminelles. Elle fournit gratuitement des rapports quotidiens à des CERT-nationaux, opérateurs réseau et forces de l’ordre pour informer et neutraliser des infrastructures cybercriminelles (ex. scan de l’ensemble de l’IPv4 plusieurs dizaines de fois par jour).
Elle agit comme un partenaire clé des services de police, des autorités judiciaires et des fournisseurs télécom, en focalisant sur la traçabilité et la disruption des réseaux frauduleux plutôt que sur la simple réaction à des incidents.

La Fondation Shadowserver

La Shadowserver Foundation est une organisation de sécurité à but non lucratif qui travaille de manière altruiste dans les coulisses pour rendre Internet plus sûr pour tous.

Lire la suite sur shadowserver.org