Opération Endgame : Le démantèlement de trois outils de cybercrime-as-a-service
27 juin 2026Le 24 juin 2026, Europol a lancé une nouvelle offensive qui fait trembler le monde du cybercrime. Opération Endgame, ce nom désormais célèbre, a frappé trois outils de malwares-as-a-service, SocGholish, Amadey et StealC, en neutralisant 326 serveurs, 142 domaines et en sauvant 27 millions d’identifiants volés. Ce n’est pas une simple victoire technique : c’est une démonstration de force internationale, orchestrée par six pays, dix entreprises de cybersécurité et Microsoft, qui a osé invoquer la loi RICO, une loi antimafia américaine, pour poursuivre les opérateurs présumés.
L’originalité de cette opération réside dans sa cible. SocGholish, Amadey et StealC ne sont pas des logiciels classiques. Ce sont des outils de malware-as-a-service, une économie criminelle où le code malveillant est loué comme un service. Un cybercriminel peut acheter ces outils, les configurer pour cibler des entreprises, et récupérer les données volées via un panneau web. SocGholish, par exemple, se propage via des mises à jour de navigateur falsifiées injectées dans des sites WordPress. Les propriétaires de ces sites ignorent souvent qu’ils hébergent du code malveillant. Amadey, lui, est distribué par phishing, puis sert de passerelle pour télécharger d’autres malwares. StealC, quant à lui, est un infostealer qui vole les mots de passe, les cookies et même les portefeuilles crypto directement depuis les navigateurs.
Ce qui fait la force de ces outils, c’est leur capacité à infiltrer des réseaux d’entreprise via des machines personnelles. Un salarié infecté peut, sans le savoir, stocker ses accès VPN ou ses identifiants de connexion dans son navigateur. Ces données, une fois récupérées, permettent aux cybercriminels de s’introduire dans des réseaux d’entreprise avec des identifiants légitimes, évitant ainsi les déclencheurs d’alerte. Dans certains cas, cela a même conduit au déploiement de ransomware, comme le révèle un rapport de Proofpoint. Pour neutraliser ces menaces, les autorités ont exploité une faille dans le panneau de contrôle de StealC, permettant d’accéder directement aux serveurs de commande et de contrôle.
Ce qui distingue cette opération Endgame, c’est sa méthode. Plutôt que de cibler chaque outil séparément, Microsoft et ses partenaires ont traité Amadey et StealC comme des composants d’un même système. Une approche qui s’inscrit dans une tendance plus large : l’industrialisation des outils de défense. Microsoft a même utilisé Copilot, son assistant IA, pour analyser les binaires malveillants et identifier les serveurs C2. Cependant, les opérateurs de ces infrastructures, bien que touchés, ont tendance à se reconstituer rapidement. La véritable victoire, donc, ne réside pas seulement dans le bilan immédiat, mais dans la capacité à perturber un modèle économique criminel. Reste à voir si cette opération marquera un tournant dans la lutte contre le cybercrime-as-a-service, ou si elle n’est qu’un premier pas dans une guerre plus longue.
Sources
À très vite sur l’EternoStation.
