Deutsch
English
Español
Français
Nederlands
Português
Dans le cadre d'une opération internationale sans précédent, les forces de l'ordre menées par Europol et la Police nationale néerlandaise ont démantelé l'infrastructure des voleurs d'informations StealC et Amadey. Annoncée le 24 juin 2026, l'opération Endgame a saisi plus de 100 serveurs, récupéré plus de 24 millions d'identifiants volés et gelé 41 millions d'euros en cryptomonnaies, affectant plus de 1,5 million de services en ligne. Ce coup majeur frappe l'écosystème malware-as-a-service (MaaS) qui alimente les ransomwares et l'usurpation d'identité.
Qu'est-ce qu'un infostealer et pourquoi est-ce important?
Les infostealers sont des malwares conçus pour extraire silencieusement des données sensibles : identifiants, cookies, clés de portefeuilles crypto. StealC et Amadey opèrent sous le modèle MaaS, permettant à des criminels peu qualifiés de lancer des attaques. La hausse des ransomwares est directement liée à la prolifération de ces voleurs.
L'opération : une frappe mondiale coordonnée
Portée et partenaires
L'opération Endgame est la plus grande collaboration internationale jamais montée contre la cybercriminalité. Cette phase a été menée par l'unité néerlandaise Team High Tech Crime, avec l'Allemagne (BKA), le Danemark, le Royaume-Uni, les États-Unis, Europol, Eurojust et Microsoft.
Ce qui a été saisi
Plus de 100 serveurs de commande et de contrôle (C2) ont été neutralisés. Ils contenaient plus de 24 millions d'identifiants volés provenant d'au moins 384 000 systèmes compromis, affectant plus de 1,5 million de services. Environ 41 millions d'euros en cryptomonnaies ont été gelés. La régulation mondiale des cryptomonnaies rend le blanchiment plus difficile.
StealC et Amadey : un regard plus approfondi
StealC : le voleur d'informations en MaaS
Annoncé en 2023 par Plymouth sur des forums clandestins, StealC cible identifiants de navigateurs (Chrome, Firefox, Edge, Opera), cookies, données de remplissage automatique, portefeuilles crypto et jetons Discord/Telegram. Il utilise des techniques anti-analyse avancées : cryptage RC4, pack Themida et détection de machines virtuelles. En décembre 2025, la version V2 se vendait 300 $ par mois avec des capacités accrues, dont le décryptage des jetons Steam.
Amadey : le chargeur modulaire
Actif depuis octobre 2018, Amadey (Amadey Bot) est un chargeur Windows modulaire servant à déployer StealC, des ransomwares, des mineurs de crypto et des chevaux de Troie d'accès à distance (RAT). Il se diffuse via des campagnes de phishing, des URL malveillantes et des kits d'exploitation. En mai 2026, StealC et Amadey étaient liés à plus de 140 000 ordinateurs infectés, soulignant l'ampleur de l'infestation.
Impact et recommandations
Cette perturbation devrait réduire temporairement l'accès aux identifiants volés pour les ransomwares, mais l'écosystème MaaS est résilient et de nouvelles variantes pourraient apparaître. La crise des cryptomonnaies de 2025 a modifié la monétisation des données volées. Les victimes potentielles doivent immédiatement changer leurs mots de passe pour tous les comptes utilisés sur l'appareil infecté, activer l'authentification à deux facteurs (2FA), exécuter une analyse antivirus complète et vérifier leurs identifiants sur politie.nl/checkjehack.
FAQ
Qu'est-ce qu'un infostealer?
Un malware qui extrait secrètement des données sensibles d'un ordinateur, comme des identifiants de connexion et des clés de portefeuille crypto.
Comment StealC et Amadey infectent-ils les ordinateurs?
Principalement via des emails de phishing, des téléchargements malveillants (logiciels piratés, mods de jeux), de la malvertising et des sites web empoisonnés au référencement (SEO). Amadey agit comme un chargeur qui dépose StealC ou d'autres malwares.
Combien d'identifiants ont été récupérés?
Plus de 24 millions d'identifiants volés ont été découverts sur les serveurs saisis, provenant de plus de 384 000 systèmes informatiques et affectant plus de 1,5 million de services.
Que faire si je pense être victime?
Changez immédiatement vos mots de passe, activez la 2FA sur tous les comptes, effectuez une analyse antivirus avec un logiciel de confiance et vérifiez vos identifiants sur le site de la police néerlandaise.
L'opération Endgame est-elle toujours en cours?
Oui, elle a débuté en 2024 et se poursuit. Des phases précédentes ont ciblé SocGholish et d'autres réseaux de malwares. Cette opération conjointe vise à démanteler durablement les infrastructures de cybercriminalité.
Follow Discussion