Le monde de la cybersécurité vient de remporter une victoire significative avec le démantèlement du redoutable malware DanaBot, qui avait infecté plus de 300 000 ordinateurs à travers le monde et causé au moins 50 millions de dollars de dégâts. Cette opération d’envergure s’inscrit dans le cadre de l’Opération Endgame, une initiative internationale coordonnée par Europol qui vise à démanteler les infrastructures criminelles utilisées pour lancer des attaques par rançongiciels.
Un malware aux capacités redoutables
DanaBot n’était pas un simple voleur de mots de passe. Cette hydre numérique pouvait voler les informations des appareils, pirater les sessions bancaires, dérober les historiques de navigation, mais aussi les identifiants de comptes stockés et les informations de portefeuilles de cryptomonnaies. Plus terrifiant encore, il enregistrait les frappes clavier et filmait l’activité des utilisateurs à leur insu.
Fonctionnant selon le modèle « malware-as-a-service » (MaaS), DanaBot était proposé en location pour 3 000 à 4 000 dollars par mois, permettant à n’importe quel cybercriminel d’accéder à ce botnet et ses outils de support. Ce business model lucratif avait fait de DanaBot l’une des plateformes de vol d’informations les plus prolifiques depuis 2018.
Une variante dédiée à l’espionnage
La particularité glaçante de DanaBot reste que ses créateurs avaient développé une version spécialement conçue pour cibler « les ordinateurs victimes dans les entités militaires, diplomatiques, gouvernementales et connexes ». Cette variante espionnait systématiquement diplomates, forces de l’ordre et militaires en Amérique du Nord et en Europe, en transformant un simple logiciel malveillant en outil de renseignement géopolitique.
Selon le FBI, il existait au moins deux versions majeures de DanaBot : la première, vendue entre 2018 et juin 2020, et une seconde version émergée en janvier 2021, spécifiquement conçue pour cibler les ordinateurs militaires, diplomatiques et d’organisations non gouvernementales dans plusieurs pays, dont les États-Unis, la Biélorussie, le Royaume-Uni, l’Allemagne et la Russie.
L’Opération Endgame frappe au cœur du réseau
Entre le 19 et le 22 mai 2025, les autorités ont procédé au démantèlement d’environ 300 serveurs et à la neutralisation de 650 domaines dans le monde entier. Cette action coordonnée s’est traduite par la saisie de 3,5 millions d’euros en cryptomonnaies, portant le total des actifs confisqués dans le cadre de l’Opération Endgame à plus de 21,2 millions d’euros.
Seize individus ont été inculpés par le ministère américain de la Justice, notamment les dirigeants présumés Aleksandr Stepanov, 39 ans, alias « JimmBee », et Artem Aleksandrovich Kalinkin, 34 ans, alias « Onix », tous deux basés à Novosibirsk, en Russie. Vingt mandats d’arrêt internationaux ont été émis contre des acteurs clés de cette infrastructure criminelle.
Une coalition internationale sans précédent
Pour faire tomber DanaBot, des mastodontes de la Tech (Google, Amazon, PayPal, Intel) ont collaboré avec de grands noms de la cybersécurité et du Cloud (ESET, Crowdstrike, Proofpoint, ZScaler). Cette coopération entre forces de l’ordre et secteur privé a mobilisé des équipes d’enquêteurs du Canada, du Danemark, de la France, de l’Allemagne, des Pays-Bas, du Royaume-Uni et des États-Unis, travaillant en temps réel aux côtés du Centre européen de lutte contre la cybercriminalité d’Europol.
Un impact durable sur l’écosystème criminel
Selon Proofpoint, qui avait initialement identifié et nommé DanaBot en mai 2018, cette perturbation aura un impact significatif sur le paysage global des menaces cybercriminelles. En mars 2023, 17% des campagnes d’emails dans les données de Proofpoint étaient attribuées à des acteurs de menaces ciblés par l’Opération Endgame, un chiffre qui avait chuté à seulement 1% en février 2025.
Comme l’explique Selena Larson, chercheuse en cybersécurité chez Proofpoint : « Les perturbations cybercriminelles et les actions des forces de l’ordre non seulement nuisent à la fonctionnalité et à l’utilisation des logiciels malveillants, mais imposent également des coûts aux acteurs de la menace en les obligeant à modifier leurs tactiques, provoquent une méfiance dans l’écosystème criminel et peuvent potentiellement amener les criminels à envisager de trouver une carrière différente. »
L’ironie de cette affaire réside dans le fait que les créateurs de DanaBot ont parfois été victimes de leur propre malware, infectant accidentellement leurs propres systèmes et exposant ainsi leurs données personnelles aux autorités qui ont pu les identifier. Cette faille humaine dans un système criminel sophistiqué illustre parfaitement les risques inhérents à la cybercriminalité.
Le démantèlement de DanaBot marque une étape importante dans la lutte contre la cybercriminalité organisée. En ciblant spécifiquement les malwares d’accès initial – ces outils qui ouvrent la porte aux attaques par rançongiciels – l’Opération Endgame s’attaque aux fondements mêmes de l’écosystème criminel numérique. Cette approche proactive pourrait bien changer la donne dans la guerre contre les cybercriminels.
