18-04-2025, 11:36
Opération Endgame : les clients du botnet Smokeloader dans le viseur des autorités
La lutte contre la cybercriminalité vient de franchir un nouveau cap avec la deuxième phase de l’opération internationale Endgame, qui cible désormais non plus seulement les opérateurs de malwares, mais aussi leurs clients. Cette offensive, coordonnée par Europol et impliquant les forces de l’ordre d’Europe et d’Amérique du Nord, a conduit début avril 2025 à l’arrestation
d’au moins cinq individus liés au botnet Smokeloader, ainsi qu’à la saisie de serveurs et à de multiples perquisitions.
d’au moins cinq individus liés au botnet Smokeloader, ainsi qu’à la saisie de serveurs et à de multiples perquisitions.
![[Image: OP_ENDGAME_leadimage.png.webp?itok=Wnxj4uVr]](https://www.europol.europa.eu/cms/sites/default/files/styles/1940x/public/images/OP_ENDGAME_leadimage.png.webp?itok=Wnxj4uVr)
Smokeloader : un outil central du crime informatique
Smokeloader, malware actif depuis plus de dix ans, est un « loader » particulièrement prisé pour sa discrétion et sa capacité à installer d’autres programmes malveillants sur les machines infectées. Exploité par un cybercriminel surnommé « Superstar », il était proposé en mode « pay-per-install » : des clients pouvaient louer l’accès à des ordinateurs compromis pour y déployer à leur tour des ransomwares, des logiciels espions, des enregistreurs de frappe, ou encore des outils de minage de cryptomonnaies.
Une nouvelle stratégie : frapper la demande
Contrairement à la première phase d’Endgame, qui s’était concentrée en mai 2024 sur le démantèlement d’infrastructures et l’arrestation de développeurs de malwares, cette nouvelle vague vise les clients finaux, c’est-à-dire ceux qui alimentent l’économie souterraine du cybercrime en achetant ou revendant l’accès à Smokeloader.
Les enquêteurs ont exploité une base de données saisie lors de la première opération, qui contenait les identités numériques et parfois réelles des clients de Smokeloader. Cette traçabilité a permis de remonter jusqu’à plusieurs suspects, dont certains revendaient eux-mêmes l’accès à des machines compromises, créant de véritables micro-entreprises criminelles.
Arrestations, perquisitions et coopération internationale
Au moins cinq arrestations ont été réalisées en Europe et en Amérique du Nord, accompagnées de perquisitions et de saisies numériques. Plusieurs suspects, confrontés aux preuves accumulées par les enquêteurs, ont choisi de coopérer, fournissant des informations sur les circuits de distribution de Smokeloader et sur d’autres activités cybercriminelles.
L’opération a mobilisé les autorités de nombreux pays, dont la France, l’Allemagne, les Pays-Bas, le Canada, le Danemark, la République tchèque et les États-Unis, illustrant la montée en puissance de la coopération transatlantique contre la criminalité numérique.
Sources:
https://www.europol.europa.eu/media-pres...-takedowns
https://www.bleepingcomputer.com/news/se...s-servers/
https://hackread.com/smokeloader-users-i...n-endgame/
https://incyber.org/article/operation-en...okeloader/
![[-]](https://www.tisi-fr.com/board/images/collapse.png)