La traque numérique : Endgame, l’opération qui ébranle le cybercrime mondial

Posted On 23 Mai 2025

Tag: akbot, Bumblebee, info stealer, lumma, Trickbot

Une opération sans précédent baptisée Endgame a permis à l’Office français anti-cybercriminalité (OFAC) et ses alliés de porter un coup majeur aux réseaux de logiciels malveillants, démantelant des dizaines d’infrastructures criminelles numériques.

C’est une offensive coordonnée d’une ampleur inédite qui s’est déroulée dans l’ombre du web entre le 19 et le 23 mai 2025. À l’initiative de l’Office anti-cybercriminalité (OFAC), et avec l’appui de partenaires internationaux de premier plan, l’opération Endgame a marqué un tournant stratégique dans la lutte contre la cybercriminalité. Sept logiciels malveillants d’accès initial, véritables portes d’entrée pour les attaques informatiques les plus destructrices, ont été neutralisés, des centaines de serveurs et domaines malveillants mis hors service, et plusieurs millions d’euros en crypto-actifs saisis. Une réussite technique et judiciaire rendue possible par une coopération sans faille entre autorités européennes et nord-américaines, qui redéfinit aujourd’hui les contours du combat numérique mondial.

Endgame n’est pas un simple coup de filet numérique : c’est une démonstration de force inédite contre les réseaux criminels les plus sophistiqués opérant dans le cyberespace. Le démantèlement coordonné de sept logiciels d’accès initial – dont les tristement célèbres Qakbot, Trickbot et Bumblebee – représente une percée considérable dans la lutte contre les cyberattaques à grande échelle. Ces programmes, qualifiés de droppers ou loaders, servent généralement à préparer le terrain pour des malwares plus destructeurs comme les ransomwares, en infiltrant discrètement les systèmes ciblés.

Via LUMMA, des milliers d’internautes ont été piratés et diffusés sur Internet. Ici, un compte Telegram fermé par les autorités. – Capture : zataz.com

Europol et une quinzaine d’agences internationales, les autorités ont non seulement identifié et neutralisé ces menaces, mais aussi frappé au cœur de l’économie souterraine qui les alimente. Près de 300 serveurs répartis sur plusieurs continents et 650 noms de domaines associés à des infrastructures illégales ont été rendus inopérants. Plus de 1 300 domaines saisis ou transférés à Microsoft, dont 300 domaines traités par les forces de l’ordre avec le soutien d’Europol, seront redirigés vers des failles Microsoft. La coordination technique et judiciaire mise en place dans Endgame a permis, pour la première fois à cette échelle, de mener des actions simultanées dans plusieurs juridictions, multipliant ainsi les effets déstabilisateurs pour les groupes criminels.

Entre le 16 mars et le 16 mai 2025, Microsoft a identifié plus de 394 000 ordinateurs Windows infectés par le malware Lumma dans le monde.

« Le cybercrime ne connaît pas de frontières, notre réponse non plus » : tel est le message qu’envoie l’opération Endgame aux cybercriminels du monde entier.

Au-delà des infrastructures techniques, ce sont aussi les cerveaux du réseau qui ont été ciblés. Vingt suspects ont été identifiés, dont 18 font aujourd’hui l’objet d’une notice rouge d’Interpol. Cette pression internationale s’est également accompagnée de saisies importantes : plus de 3,5 millions d’euros en crypto-actifs ont été confisqués, portant le total des fonds saisis dans le cadre d’Endgame à plus de 21 millions d’euros. Une somme qui témoigne de la réalité économique et des enjeux financiers colossaux de la cybercriminalité moderne.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Dans le même temps, un autre volet de l’opération s’est attaqué à l’écosystème du stealer Lumma, un outil particulièrement prisé des cybercriminels pour dérober identifiants et données sensibles. En collaboration avec Microsoft, les forces engagées ont démantelé 91 canaux Telegram utilisés pour la distribution et la coordination de Lumma. Un succès stratégique, obtenu notamment grâce à la plateforme française PHAROS, qui confirme le rôle central de l’OFAC dans la surveillance proactive des zones grises du web.

La neutralisation de plus de 90 canaux Telegram liés à Lumma marque un coup d’arrêt décisif à un outil central du vol de données personnelles à l’échelle mondiale ? Oui et non ! Derrière cette offensive se cache une architecture de coopération sans précédent. L’Office anti-cybercriminalité français, la Police nationale, la Gendarmerie, mais aussi le FBI, Europol, Eurojust, et des unités spécialisées comme le NHTCU néerlandais ou la Royal Canadian Mounted Police ont partagé ressources, renseignements et capacités opérationnelles. Un modèle de collaboration internationale qui, selon plusieurs experts, pourrait bien devenir la norme face à une menace cyber globale, évolutive et polymorphe.

Via LUMMA, RedLine, Etc., aujourd’hui fermés et saisis, des millions d’euros ont pu être volés par les hackers malveillants. – Capture : zataz.com

Car le succès de cette opération repose avant tout sur la capacité à dépasser les silos nationaux, à mutualiser les expertises techniques et juridiques, et à agir dans un timing parfaitement synchronisé. C’est cette approche qui a permis d’identifier les serveurs, d’obtenir les mandats nécessaires, et d’intervenir avec une précision chirurgicale, tout en préservant la confidentialité et la sécurité des opérations.

Mais Endgame ne signe pas la fin du jeu. Si les retombées immédiates sont spectaculaires, les cybercriminels, réputés pour leur agilité et leur résilience, chercheront inévitablement à rebondir. Pour preuve, le Service Veille de ZATAZ a repéré pas moins de 27 nouveaux groupes (du moins nouveaux noms) spécialisés dans l’infostealer. D’autres se sont tournés vers des réseaux alternatifs de communication comme Discord ou encore Signal (Sic!), d’autres développer de nouveaux outils pour combler le vide laissé par les loaders démantelés. Mais avant de redouter une mutation rapide de l’écosystème, avec l’émergence de menaces inédites ou la migration vers des environnements plus obscurs et plus difficiles à surveiller, on ne peut que saluer ceux qui nous protègent.

Rejoignez-nous sur la Lettre d’actualité gratuité de ZATAZ S’abonner à la newsletter ou encore sur WhatsApp et suivez notre veille sur Twitter/X, LinkedIn & YouTube.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. Il s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. ZATAZ.COM est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. 9ème influenceur Cyber d'Europe. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Réserviste de la Gendarmerie Nationale (Unité Nationale Cyber - réserve volontaire citoyenne) et de l'Éducation Nationale Hauts-de-France. Médaillé de la Défense Nationale (Marine Nationale) et de la médaille des réservistes volontaires de défense et de sécurité intérieure. (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.