Le parquet de Paris a récemment annoncé une action coordonnée à l’échelle internationale visant à démanteler une infrastructure de cybercriminalité. Cette opération a ciblé un réseau ayant infecté un million de modems, appartenant à des particuliers et des organisations, via un logiciel malveillant.
EN BREF
- Un réseau cybercriminel a été démantelé, infectant un million de modems.
- 34 noms de domaines et 24 serveurs ont été saisis dans 7 pays.
- Plus de 5 millions d’euros ont été perçus par la plateforme de paiement associée.
Cette opération, qui a eu lieu mercredi, a été menée en collaboration avec les justices française, américaine et néerlandaise, avec le soutien d’Europol et d’Eurojust. Des pays tels que l’Allemagne, l’Autriche, la Bulgarie, la Hongrie et la Roumanie ont également été impliqués.
La procureure Laure Beccuau a précisé que l’opération a permis de mettre hors ligne l’infrastructure du groupe, entraînant la déconnexion de 1 million de modems infectés du réseau criminel. En France, 40 000 euros ont été saisis, tandis que les États-Unis ont gelé 3 millions d’euros en cryptomonnaie.
Le site socksescort.com était au cœur de cette opération. Il proposait un service de proxy payant, permettant à ses clients de louer des adresses IP résidentielles fixes. Cela leur offrait la possibilité de masquer leur adresse IP réelle pour contourner les restrictions géographiques de divers services en ligne. Socksescort promettait une bande passante illimitée et une mise à jour constante de ses adresses IP, tout en garantissant qu’elles n’étaient pas répertoriées sur des listes noires.
Au début du mois de mars, la société affirmait offrir plus de 35 000 proxies dans une centaine de pays. Cependant, l’enquête a révélé que le service reposait sur un réseau de modems infectés par le malware AVRecon, actif depuis 2019. Ce logiciel malveillant a permis de prendre le contrôle des modems de particuliers et d’organisations, transformant ces machines en relais de trafic à l’insu de leurs propriétaires.
De plus, l’enquête a mis en lumière que la plateforme de paiement Bitsidy.com était gérée par les mêmes personnes derrière le service de proxy, ayant perçu plus de 5 millions d’euros de la part des clients de socksescort.com.
Une enquête avait été ouverte en France dès juin 2024, après un renseignement américain indiquant que certains des serveurs incriminés se trouvaient sur le territoire français. Suite à cela, une information judiciaire a été confiée à un juge d’instruction en février dernier.
Ce démantèlement illustre l’ampleur croissante de la cybercriminalité et la nécessité d’une coopération internationale pour lutter contre ces menaces. Les autorités continuent de travailler ensemble pour surveiller et neutraliser de telles infrastructures, protégeant ainsi les utilisateurs des dangers en ligne.
