Une opération internationale d’envergure
ESET Research a participé à la neutralisation de deux cybermenaces de premier plan : Amadey, un chargeur de malwares modulaire, et Stealc, un logiciel espion conçu pour dérober identifiants et données financières. L’opération, menée conjointement avec Microsoft Digital Crimes Unit (DCU), BitSight, Lumen et Mitsui Bussan Secure Directions (MBSD), visait à démanteler l’intégralité des infrastructures de commande et contrôle (C&C) de ces deux plateformes.
En parallèle, le Centre européen de lutte contre la cybercriminalité d’Europol (EC3) et plusieurs polices européennes — dont le BKA allemand et les forces néerlandaise et danoise — menaient leurs propres investigations sur Stealc dans le cadre de l’opération Endgame, avec le soutien d’IBM et de Proofpoint.
ESET au cœur du renseignement technique
Pendant trois ans, les équipes d’ESET ont traqué ces deux familles de malwares, accumulant une base de données précieuse d’indicateurs de compromission (IoC). Dans le cadre de cette opération, ESET a transmis aux autorités des données couvrant la période du quatrième trimestre 2025 au premier semestre 2026 : adresses de serveurs C&C, clés de chiffrement, identifiants de build, chemins d’URL et paramètres de configuration utilisés par les attaquants.
« Nos systèmes automatisés ont permis d’identifier les artefacts les plus pertinents pour le suivi à grande échelle », explique Jakub Tomanek, chercheur chez ESET. Ces informations ont permis aux forces de l’ordre de prioriser et démanteler les infrastructures avec un haut niveau de confiance.
Un marché cybercriminel organisé
Amadey et Stealc sont tous deux commercialisés sur des forums du darknet selon un modèle Malware-as-a-Service (MaaS), accessibles à tout cybercriminel disposant d’un budget et d’une infrastructure propre. Amadey est vendu 600 dollars en Bitcoin, avec une facturation supplémentaire de 50 dollars à chaque reconstruction — notamment lors d’un changement de serveur. Stealc propose quant à lui un abonnement à partir de 1 000 dollars pour six mois, avec génération illimitée de nouvelles versions.
Les deux malwares se propagent principalement via de fausses mises à jour logicielles, des installateurs piratés et des chargeurs tiers. Amadey se concentre sur le déploiement de charges malveillantes et l’accès à distance, tandis que Stealc cible les navigateurs, clients de messagerie, plateformes de jeux et portefeuilles de cryptomonnaies.
Une menace mondiale sans frontières
Les données de télémétrie d’ESET révèlent une diffusion mondiale des deux malwares. Pour Amadey, les pays les plus touchés sont l’Inde, la Turquie, l’Égypte, le Mexique et l’Espagne. Stealc cible en priorité les États-Unis, la Pologne et l’Italie. Aucune concentration géographique particulière n’est observée, signe d’une stratégie d’affiliation décentralisée.
ESET poursuivra la surveillance de ces deux familles afin de détecter toute tentative de reconstitution de leurs infrastructures. L’opération illustre l’importance d’une coopération internationale entre acteurs privés et forces de l’ordre pour lutter efficacement contre la cybercriminalité organisée.
