Les États-Unis ont mis fin à l’un des plus vastes réseaux de cybercriminalité au monde. Le malware Danabot, responsable de plus de 300 000 infections et 50 millions de dollars de dégâts, a été démantelé dans le cadre de l’opération Endgame. Seize personnes sont inculpées.
Un réseau mondial mis hors service
Le Département de la Justice américain a annoncé avoir démantelé l’infrastructure du malware Danabot, utilisé par un groupe cybercriminel basé en Russie. Ce logiciel malveillant, actif depuis 2018, aurait infecté plus de 300 000 machines dans le monde, causant au moins 50 millions de dollars de pertes. Seize personnes sont poursuivies, dont deux développeurs russes identifiés comme Aleksandr Stepanov (alias JimmBee) et Artem Kalinkin (alias Onix), toujours en liberté.
Un outil clé de la cybercriminalité
Danabot fonctionnait comme un service : ses auteurs le louaient à d’autres groupes qui géraient leurs propres botnets. Cette plateforme « malware-as-a-service » était modulable et très documentée. Elle permettait de voler des identifiants, des données bancaires, des portefeuilles crypto, d’espionner les utilisateurs via webcam ou capture d’écran, et de diffuser d’autres malwares, y compris des ransomwares.
Danabot était aussi très actif en France
Ciblage stratégique et espionnage
Les campagnes de Danabot visaient principalement les États-Unis, le Canada, l’Australie et plusieurs pays d’Europe de l’Est et de l’Ouest. Deux versions du malware coexistaient : une orientée vers la fraude financière, et une autre, plus discrète, utilisée pour des opérations d’espionnage contre des cibles gouvernementales, diplomatiques ou militaires. Cette seconde version enregistrait toutes les interactions des victimes pour les transférer vers des serveurs spécifiques.
Le malware se propageait à travers des campagnes de phishing, du référencement malveillant (SEO poisoning), ou des fausses publicités Google. Des sites piégés proposaient par exemple de faux outils logiciels ou services administratifs, téléchargeant Danabot en arrière-plan. Son infrastructure technique s’appuyait sur un réseau complexe de serveurs intermédiaires pour masquer la localisation des opérateurs.
Une collaboration public-privé décisive
L’opération de démantèlement a mobilisé plusieurs agences américaines et européennes, avec l’aide de grandes entreprises comme Google, Amazon, ESET, CrowdStrike ou Proofpoint. Ces partenaires ont fourni analyses, données réseau, et expertise technique. Le démantèlement de Danabot entre dans le cadre d’« Operation Endgame », une vaste initiative internationale contre la cybercriminalité.
Même si les principaux cerveaux de Danabot sont toujours introuvables, ce coup porté à leur infrastructure marque un revers important pour ce réseau. Le modèle MaaS est en ligne de mire des autorités, qui misent sur la coopération pour fragiliser ces écosystèmes criminels. La fin de Danabot ne signe pas la fin des botnets, mais c’est une avancée importante.