Dark Covenant 3.0 : impunité contrôlée et cybercriminels russes

Executive Summary

L'écosystème cybercriminel russe traverse une période de profonde transformation, marquée par une campagne internationale d'application de la loi sans précédent, une évolution des priorités nationales en matière d'application de la loi et des liens durables entre le crime organisé et l'État russe. L'opération Endgame, lancée en mai 2024, visait les opérateurs de ransomware, les services de blanchiment d'argent et les infrastructures affiliées dans plusieurs juridictions russes. En réponse, les services répressifs russes ont procédé à une série d'arrestations et de saisies très médiatisées. Ces événements marquent une rupture par rapport à la position traditionnelle de la Russie, qui n'intervient pratiquement pas dans la cybercriminalité nationale, ce qui complique la perception de la Russie comme un "havre de paix" pour les cybercriminels. Les fuites de conversations et les enquêtes menées sur le site reporting révèlent que des personnalités de haut rang au sein de ces groupes de menace ont souvent entretenu des relations avec les services de renseignement russes, fournissant des données, exécutant des tâches ou profitant de pots-de-vin et de relations politiques pour bénéficier de l'impunité.

Au sein de la clandestinité, cette situation a érodé la confiance, les affiliés se plaignant d'escroqueries, d'usurpation d'identité et de pressions sélectives de la part des forces de l'ordre. Ces changements ont, à leur tour, accéléré les changements opérationnels, qu'il s'agisse d'un contrôle plus strict des programmes de ransomware en tant que service (RaaS) ou du changement de marque des groupes de ransomware et de l'adoption de plateformes de communication décentralisées pour atténuer les risques d'infiltration perçus. Dans le même temps, les gouvernements occidentaux durcissent leurs politiques de lutte contre les ransomwares, en interdisant le paiement de rançons, en rendant obligatoire l'adresse reporting, voire en lançant des opérations cybernétiques offensives destinées à neutraliser les infrastructures Adversaire avant que les attaques ne se produisent. Cette attitude plus agressive a coïncidé avec des échanges de prisonniers et des négociations qui mettent en évidence la façon dont les cybercriminels de grande valeur fonctionnent comme des atouts politiques dans le cadre du calcul géopolitique plus large de la Russie.

Dark Covenant 3.0 situe ces développements dans le contexte plus large de l'interaction entre l'État et la criminalité en Russie. Dans ce contexte, la cybercriminalité ne peut être considérée uniquement comme une entreprise commerciale ; elle constitue également un outil d'influence, un moyen d'acquisition d'informations et une responsabilité lorsqu'elle menace la stabilité nationale ou les intérêts de la Russie. La trajectoire de cet écosystème dépendra de la manière dont les autorités russes équilibreront les pressions extérieures, les sensibilités politiques intérieures et la valeur stratégique durable dérivée des mandataires cybercriminels.

Key Findings

Methodology

Ce rapport examine de manière étroite le cadre du "Dark Covenant" - défini et discuté dans les rapports d'Insikt Group de 2021 et 2023 - entre 2024 et 2025. Il s'agit notamment de l'éventail des relations directes, indirectes et tacites entre les cybercriminels basés en Russie (ou alignés sur la Russie) et les éléments de l'État russe, et de la manière dont ces relations se sont adaptées à la pression soutenue exercée par l'Occident dans le cadre de l'opération Endgame et des actions de lutte contre les rançongiciels qui en découlent. Nous nous concentrons principalement sur les entités visées par l'opération Endgame, et notre champ temporel s'étend de mai 2024 (date de début de l'opération Endgame) à septembre 2025, avec une référence historique limitée à des épisodes antérieurs témoignant de la proximité entre l'État et les criminels. Cela comprend les actions de l'opération Endgame et les calendriers d'application de la loi russe qui permettent de savoir quels services ou acteurs malveillants ont été ciblés par les forces de l'ordre au lieu d'être soustraits à leur contrôle.

Le rapport fait la synthèse : (1) des communiqués des forces de l'ordre et des documents de l'opération Endgame qui énumèrent les familles de logiciels malveillants, les réseaux de zombies et les services de transfert de fonds ciblés ; (2) des déclarations de la justice russe, des procureurs et des médias qui documentent les arrestations, les saisies et les condamnations ; et (3) des forums du dark web et des communications Telegram qui révèlent les réactions clandestines, la dynamique de la confiance et les adaptations opérationnelles. Nous nous référons également aux archives des chats qui ont fait l'objet de fuites et à l'enquête reporting concernant Conti, Trickbot et les facilitateurs associés, lorsqu'ils mettent en lumière les allégations de protection, de partage d'informations ou d'attribution de tâches à l'État Entité. Ce rapport intègre également des développements politiques transnationaux et des événements diplomatiques (par exemple, des échanges de prisonniers impliquant des cybercriminels russes de grande valeur) afin de contextualiser la façon dont la pression extérieure s'entrecroise avec le calcul intérieur de la Russie en matière de protection et de contrôle. Tous ces événements sont traités comme des indicateurs, et non comme des preuves, des priorités et de l'influence de l'État russe.

Background

L'alliance des ténèbres

Le cadre du "Dark Covenant" décrit le réseau de relations qui relie la clandestinité cybercriminelle russe à des éléments de l'État, en particulier les services de renseignement et d'application de la loi, par le biais d'un éventail de liens directs, d'affiliations indirectes et d'ententes tacites. Le rapport original Dark Covenant, publié le 9 septembre 2021, affirme que ces relations sont anciennes et fluides ; le recrutement de criminels qualifiés (parfois sous la menace de poursuites judiciaires), la protection sélective et la capacité de l'État à voir et à façonner certaines parties du sous-sol créent un écosystème dans lequel la cybercriminalité peut persister lorsqu'elle sert les intérêts de l'État. Le rapport a formalisé trois catégories de liens - associations directes, affiliations indirectes et accords tacites - et a souligné que l'absence de mesures punitives significatives est souvent le signe d'une tolérance ou d'une approbation de la part du Kremlin.

Dark Covenant 2.0, sorti le 31 janvier 2023, a étendu le modèle en temps de guerre. L'enquête a révélé que l'invasion massive de l'Ukraine par la Russie a catalysé des changements visibles dans la clandestinité. Certains groupes de menace ont ouvertement prêté allégeance au Kremlin, d'autres se sont scindés ou ont changé de nom, et des auxiliaires "hacktivistes" ont amplifié les opérations d'information parallèlement aux cyberattaques. Insikt Group a évalué que les outils, l'infrastructure et les tactiques des cybercriminels, TTPs, TTPs (TTPs), permettaient aux opérations des États de bénéficier d'un déni plausible, tandis que les arrestations et les interdictions de forum qui ont fait la une des journaux ressemblaient davantage à une gestion de la réputation qu'à une véritable rupture avec la cybercriminalité. Le rapport 2023 réaffirme le modèle de liens à trois niveaux et montre comment les pressions de la guerre ont approfondi certains liens tout en en occultant d'autres.

Dans les deux rapports, la ligne directrice n'est pas une structure unique de commandement et de contrôle, mais un accord pragmatique. Les services russes recrutent ou cooptent des talents lorsque c'est utile, détournent le regard lorsque l'activité s'aligne sur les objectifs de l'État et appliquent les lois de manière sélective lorsque les acteurs malveillants deviennent politiquement gênants ou embarrassants pour l'extérieur. Ce "pacte" mêle incitation, intimidation et opportunisme, créant une zone grise résiliente où l'entreprise criminelle se double d'un instrument d'État.

Dark Covenant 3.0 situe ce marché dans l'ère post-opération Endgame. Le même écosystème fonctionne aujourd'hui sous une pression internationale plus forte, sous une nouvelle optique nationale et sous une politique de protection plus explicite. La structure de base reste intacte - liens directs, indirects et tacites - mais les contours se sont affinés, avec des mesures de répression sélectives de la part de la Russie à l'encontre des facilitateurs peu utiles et une isolation continue pour les groupes de menace qui offrent une valeur sur le plan du renseignement ou de la géopolitique. Ce rapport utilise cette optique pour expliquer pourquoi la Russie ressemble moins à un "havre" uniforme qu'à un marché administré, où ce sont les intérêts de l'État, et non la loi, qui déterminent qui est protégé et qui ne l'est pas.

Opération Endgame

L'opération Endgame a été plus qu'un démantèlement multinational : il s'agissait de tester publiquement jusqu'où la pression occidentale peut aller dans un écosystème où la cybercriminalité russe et des éléments de l'État ont longtemps coexisté dans le cadre d'une "politique de protection" pragmatique. En mai 2024, Europol a annoncé publiquement le lancement de l'opération Endgame, une initiative visant les précurseurs des ransomwares, en particulier les logiciels malveillants de type "loader". Toutefois, compte tenu du succès de sa première journée d'action en mai 2024, Europol a étendu son mandat à d'autres éléments de la chaîne d'approvisionnement des ransomwares.

L'opération Endgame a été divisée en deux "saisons" : une série d'enlèvements majeurs en mai 2024, et l'autre en mai 2025. Dans la pratique, ces saisons ont regroupé des actions coordonnées contre des chargeurs et des facilitateurs (par exemple, IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee et d'autres), des botnets classiques et des banquiers (Trickbot, Qakbot, DanaBot, Emotet et d'autres), et des infrastructures de transfert de fonds (Cryptex, Universal Automated Payment Service [UAPS], PM2BTC et autres), ainsi que des désignations publiques telles que les entrées "Most Wanted" de l'Union européenne (UE) liées aux figures de Conti et de Trickbot. L'un des éléments clés de ces saisons a été la diffusion de vidéos ciblées destinées à intimider les acteurs malveillants pour qu'ils fournissent des informations. La décision d'associer des perturbations techniques à des vidéos de dénonciation et d'humiliation est le signe d'une campagne d'influence visant les affiliés et les fournisseurs, ce qui a accéléré les débats sur l'OPSEC, la confiance et la viabilité des logiciels malveillants en tant que service (MaaS) au sein des forums en langue russe.

L'impact de l'opération Endgame clarifie les parties du réseau clandestin russe que l'État est prêt à protéger et celles qu'il n'est pas prêt à protéger. Les autorités russes ont manifestement pris des mesures à l'encontre de certains facilitateurs (par exemple, Cryptex, UAPS et, plus tard, les cadres dirigeants liés à Aeza). Dans le même temps, les réseaux de ransomwares de plus grande valeur dont on soupçonne les liens ou l'utilité avec les services de sécurité ont largement évité les conséquences correspondantes, ce qui renforce notre évaluation selon laquelle le "refuge" de la Russie est conditionnel, sélectif et régi par les intérêts de l'État plutôt que par la loi.

Threat Analysis

Actions du gouvernement russe et réponse à l'opération Endgame

Depuis le début de l'opération Endgame, les médias de sources ouvertes, les commentaires dans les fuites de chats et les messages publics sur divers sites criminels en langue russe sources ont indiqué que les autorités russes ont ciblé des services clés qui permettent les opérations de ransomware. L'annexe A présente une chronologie des opérations d'application de la législation russe suivies par Insikt Group. D'après notre examen des fuites de communications privées entre les acteurs malveillants, d'autres arrestations ont probablement eu lieu, mais il n'est pas certain qu'il existe d'autres événements non médiatisés.

Ces opérations ne sont pas simplement un travail épisodique de la police ; elles sont des indicateurs de la manière dont la "politique de protection" fonctionne dans la pratique. Les mesures prises à l'encontre de facilitateurs tels que Cryptex ou UAPS - raids, détentions massives et saisies d'actifs - montrent que Moscou agira lorsque les services sont politiquement coûteux ou qu'ils n'apportent qu'une valeur limitée à l'État en matière de renseignement, en particulier après que les pressions occidentales ont concentré l'attention sur des Nœuds spécifiques dans l'économie des ransomwares. En revanche, les mesures relativement discrètes ou opaques prises à l'encontre des personnes liées à Trickbot, malgré les désignations "Most Wanted" de l'Union européenne (UE) et la signalisation étendue de l'opération Endgame, s'alignent sur les preuves tirées des fuites de chats qui suggèrent que les liens entre les opérateurs de haut niveau et les services de sécurité persistent. Cela suggère qu'il existe une isolation où les groupes de menace conservent une utilité stratégique pour l'État.

Ce modèle sélectif est important pour trois raisons. Tout d'abord, elle reformule l'idée de "refuge" comme étant conditionnelle : La Russie est plus sûre pour les acteurs malveillants qui servent les intérêts de l'État, tandis que les couches de monétisation sans valeur pour l'État (par exemple, les services de blanchiment) deviennent inutilisables sous la pression. Deuxièmement, il modifie le comportement souterrain. L'opération Endgame a déclenché des révisions de l'OPSEC, des débats sur les forums et des ruptures de confiance entre les affiliés, poussant les opérateurs vers des canaux fermés, un filtrage plus strict et de nouveaux modèles d'entreprise. Troisièmement, cela clarifie le risque d'attribution pour les défenseurs et les décideurs politiques ; les écosystèmes de ransomware de grande valeur qui persistent alors que les infrastructures de paiement en espèces sont démantelées indiquent que cette asymétrie est le résultat du calcul coût-bénéfice de l'État plutôt que d'un faux pas dans l'application de la loi.

En résumé, la chronologie de l'application de la loi par la Russie à la suite de l'opération Endgame montre où les acteurs russes malveillants priorisent leurs ressources en réponse aux efforts de lutte contre les rançongiciels. Les mesures de répression prises à l'encontre de Cryptex ou de l'UAPS et les pressions exercées sur des hébergeurs comme Aeza témoignent d'une volonté d'agir lorsque l'opinion publique nationale ou la surveillance occidentale est forte, tandis que les résultats indulgents ou performants (par exemple, les peines avec sursis pour REvil acteur malveillant) et l'importance persistante des anciens de Conti et de Trickbot révèlent les points sur lesquels l'alliance tient encore. C'est pourquoi il est important de documenter à la fois les actions publiques et les rumeurs d'arrestations non médiatisées. La combinaison de la visibilité, de la sélectivité et de la gravité des résultats définit les contours de la protection par rapport à l'application de la loi et, par conséquent, les domaines dans lesquels la perturbation occidentale est efficace et ceux dans lesquels la résilience persiste.

Conti : de multiples couches de protection l'isolent d'une action importante

Dans le cadre de l'opération Endgame, les autorités européennes ont constamment ciblé les membres du Conti Ransomware Group, ses affiliés et ses proches collaborateurs, y compris Trickbot, qui ont permis leurs activités de ransomware. (Conti et Trickbot sont liés, car Conti est une variante de ransomware développée par des membres du gang Trickbot). L'attention constante portée à Conti et Trickbot reconnaît leur rôle majeur en tant que plaque tournante des talents, marché de services et, surtout, réseau de points de contact présumés avec les services russes.

L'opération Endgame comprenait l'envoi de vidéos ciblées à l'acteur malveillant afin d'obtenir de plus amples renseignements, la saisie d'infrastructures et la désignation publique des membres du groupe de menace tout en les ajoutant à la liste des personnes les plus recherchées de l'UE. Le mélange de saisies techniques et de "naming-and-shaming" de l'opération Endgame a été conçu pour faire pression non seulement sur les opérateurs, mais aussi sur leurs fournisseurs et leurs réseaux sociaux. En termes de Dark Covenant, ce site TTPs a permis de sonder le lien entre ces entreprises criminelles et leurs partenaires étatiques protection: lorsque l'attribution publique augmente les coûts diplomatiques, les acteurs malveillants isolés doivent soit s'appuyer plus lourdement sur leurs protecteurs, soit se fragmenter.

Dans le cadre de la Saison 1 (2024), en mai 2024, le Bundeskriminalamt (BKA) allemand a inscrit Fyodor Aleksandrovich Andreev (alias "Angelo") sur sa liste des personnes les plus recherchées pour son rôle en tant que membre du groupe Trickbot. En juillet 2024, les médias russes ont rapporté que M. Andreev avait été arrêté. À peu près au même moment que l'arrestation d'Andreev, dans les chats de BlackBasta qui ont fait l'objet d'une fuite, Insikt Group a découvert que d'autres membres du groupe Conti basés en Ukraine avaient été détenus ou perquisitionnés. Toujours en septembre 2024, un autre membre de Conti a révélé à "Tramp" qu'il avait été libéré ; on ne sait pas exactement quand il avait été arrêté. Toutefois, bon nombre de ces événements visant des membres russes de Conti ou de Trickbot n'ont pas été rendus publics dans les médias russes ou anglais.

Ce schéma - détentions sporadiques, libérations rapides et faible couverture officielle - ressemble davantage à une réputation triage qu'à une Campagne décisive. Des actions de garde brèves et ambiguës peuvent satisfaire les pressions extérieures tout en préservant le noyau opérationnel du groupe de menace et sa valeur perçue par les acteurs étatiques. Elle crée également une ambiguïté stratégique au sein de la clandestinité : les membres ne savent pas si les arrestations sont le signe d'un risque réel ou d'une pression de performance, ce qui ébranle la confiance et complique le recrutement des affiliés sans pour autant démanteler les dirigeants.

Dans le cadre de la deuxième série d'annonces relatives à l'opération Endgame, le BKA allemand a également annoncé publiquement que les membres suivants de Conti et de Trickbot avaient été ajoutés à la liste des personnes les plus recherchées par l'Union européenne :

Malgré ces ajouts, Insikt Group n'a pas encore observé de mesures d'application de la loi russe à l'encontre de ces personnes. Cela est probablement dû au fait que Conti et Trickbot bénéficient d'une protection plus ou moins importante de la part de plusieurs groupes au sein du gouvernement russe, allant des politiciens aux services de sécurité. En fait, dans les chats divulgués par BlackBasta, "Chuck", l'un des développeurs de Qakbot, a affirmé que Bentley, le chef de Trickbot (Vitali Nikolaevich Kovalev), était lié au Service fédéral de sécurité russe (FSB). Les autorités allemandes affirment également que M. Kovalev était le chef du groupe Conti Ransomware, sous le nom de "Stern". Cependant, plusieurs membres de haut niveau de Conti et de son prédécesseur, Trickbot, ont probablement des liens avec les services de renseignement russes au-delà de Kovalev, notamment "Professor", "Target", "Silver" et "Brooks", qui discutent ouvertement de leurs relations avec les services de renseignement russes dans d'autres chats ayant fait l'objet d'une fuite.

La juxtaposition est révélatrice : Les mandats occidentaux augmentent la transparence et le risque de voyage, tandis que l'absence d'action correspondante de la part de la Russie est le signe d'une protection intérieure durable. Cette asymétrie est l'essence même de la "politique de protection". Si des personnalités de haut rang peuvent s'appuyer sur des liens avec les services de renseignement ou des mécènes politiques, l'effet dissuasif des désignations internationales diminue à l'intérieur de la Russie. En pratique, cela permet aux anciens de Conti et de Trickbot de conserver leur leadership, leur pipeline de développeurs et la coordination de leurs affiliés, même si les changements de marque et les scissions créent un vernis d'agitation.

L'analyse des chats de Tricktbot et de Conti qui ont fait l'objet d'une fuite montre que Conti (ou au moins ses membres) a reçu des missions de la part de divers responsables inconnus des services de renseignement russes. Dans un cas, le professeur a fourni une liste au GRU russe pour qu'il l'examine. Certains chercheurs supposent qu'il s'agit d'une liste de cibles historiques fournie au GRU en vue d'un ciblage ultérieur. En outre, le professeur savait que ses contacts "payants" du SVR demandaient des renseignements sur le COVID-19. Les commentaires du professeur laissent entendre qu'il avait une relation d'informateur avec le SVR ou qu'il leur versait des pots-de-vin pour s'assurer qu'ils ne seraient pas arrêtés.

Par ailleurs, plusieurs victimes de Conti s'alignent également sur les intérêts des services de renseignement russes, notamment Bellingcat et Academi LLC (anciennement Blackwater). Conti aurait ciblé pour le FSB les membres du réseau d'enquête sur les sources ouvertes (OSINT) de Bellingcat. D'après des fuites de chats de Conti, ce dernier a également procédé, en juillet 2020, à une violation de l'entreprise militaire privée américaine Academi. Il n'est pas clair s'il s'agissait d'une mission ou s'ils remplissaient un devoir patriotique, mais il semble que le gouvernement russe ait reçu des dossiers d'Academi.

Même s'ils sont anecdotiques, ces points de contact dessinent un spectre de liens - tâches, relations rémunérées et services "patriotiques" - qui correspond au modèle direct/indirect/tacit de Dark Covenant. Pour les défenseurs des droits de l'homme et les décideurs politiques, cette situation est importante car elle brouille la frontière entre la recherche de profits criminels et la collecte de fonds par l'État. Lorsque la sélection des victimes coïncide avec les priorités de l'État, la perturbation devient plus difficile ; vous ne démantelez pas seulement un moteur de profit, vous dégradez un auxiliaire potentiel des services de renseignement de l'État, qui est plus susceptible d'être abrité dans son pays et plus difficile à fracturer à l'étranger.

En outre, selon un autre chercheur, Conti a probablement bénéficié de la protection de Vladimir Ivanovich Plotnikov, un membre de la Douma russe originaire de Perm. Selon le chercheur, M. Plotnikov aurait pris plusieurs vols privés avec des membres de Conti lorsqu'ils se sont rendus à Dubaï, dans les Émirats arabes unis (EAU). Il est donc probable que Plotnikov assure une certaine protection aux personnes qui l'ont accompagné aux Émirats arabes unis. La figure 1 présente des images de Plotnikov provenant d'un canal Telegram.

Figure 1 : Message Telegram mettant en évidence Plotnikov et sa relation avec Conti (sources : Recorded Future)

Les liens présumés avec un membre de la Douma en exercice illustrent la manière dont protection peut s'étendre au-delà des services de sécurité, dans les réseaux de mécénat politique, élargissant ainsi le bouclier dont disposent les acteurs malveillants de grande valeur. Pour les clandestins, ces relations indiquent qui est "intouchable", renforçant la hiérarchie et attirant les affiliés. Pour les perturbateurs externes, ils expliquent pourquoi les sanctions, les désignations et même les arrestations à l'étranger peuvent ne pas déclencher d'action nationale correspondante. Le capital politique à l'intérieur du pays l'emporte sur les coûts de réputation à l'étranger. Dans l'ensemble, ces couches - points de contact avec les services de renseignement, corruption ou "assurance" et mécènes politiques - expliquent pourquoi les personnalités liées à Conti et Trickbot ont mieux résisté à la pression de l'opération Endgame que les services d'encaissement et les facilitateurs périphériques.

L'opération Cryptex/Taleon indique une relation usée

En septembre 2024, dans le cadre de l'opération Endgame, les autorités américaines et européennes ont saisi des infrastructures et des produits de crypto-monnaie liés à trois services de blanchiment d'argent exploités par Sergei Ivanov : Cryptex, PM2BTC et UAPS. En outre, le département américain du Trésor a sanctionné Cryptex et Sergey Ivanov pour leur rôle dans le blanchiment de fonds provenant de nombreux services illicites en ligne, y compris des ransomwares, par l'intermédiaire de ces plateformes. Le Financial Crimes Enforcement Network a également désigné PM2BTC, qui n'a pas de politique de connaissance du client (KYC), comme un problème majeur de blanchiment d'argent. Le gouvernement américain prétend que ces services ont été utilisés pour blanchir plus d'un milliard de dollars de produits criminels.

Ce groupe d'actions est important parce qu'il frappe la couche de monétisation qui sous-tend l'économie générale des ransomwares. Le fait de cibler Cryptex, PM2BTC et UAPS, puis d'amplifier la pression avec des sanctions et une désignation de "préoccupation majeure en matière de blanchiment d'argent", indique aux autorités russes que l'ignorance de certains Nœud est désormais diplomatiquement coûteuse pour le Kremlin, ce qui augmente le prix de la tolérance continue pour la réputation de la Russie. En outre, lorsque les systèmes de blanchiment de confiance sont démantelés, les affiliés hésitent, les dépôts et les demandes de garanties augmentent et la sécurité perçue d'opérer en Russie se réduit, même si les principaux groupes de ransomware restent isolés.


Figure 2 : Image tirée de la vidéo de l'opération Endgame sur Cryptex. (sources : operationengame[.]com)

Le 2 octobre 2024, environ une semaine après l'opération UAPS, la SKR a annoncé publiquement l'ouverture d'une enquête sur le système de paiement UAPS et la bourse de crypto-monnaies Cryptex. Dans le cadre de cette annonce, le SKR a déclaré avoir arrêté près de 100 personnes associées à ces services, saisi 16 millions de dollars en roubles russes, ainsi que divers véhicules et biens. En décembre 2024, au moins deux membres (Ruslan et Roman Orekhovsky) étaient toujours assignés à résidence, tandis que le chef du groupe de menace (Sergey Ivanov) était en détention provisoire.

La rapidité et l'aspect optique de l'annonce de la SKR - détentions massives, saisies d'argent et de biens, et images très visibles telles que la photo de la saisie d'argent(figure 3)- suggèrent un cas choisi pour démontrer la réactivité nationale sans toucher aux réseaux de ransomware de plus grande valeur et utiles à l'État. Le choix de la cible (les facilitateurs financiers plutôt que les opérateurs principaux) et de l'agence principale (le comité d'enquête plutôt que les services de sécurité) correspond à un équilibre : les services financiers sont inutilisables lorsque la pression étrangère est forte et que leur valeur en termes de renseignement est faible, tandis que les groupes menaçants ayant des liens présumés avec les services conservent une isolation relative. Les résultats juridiques obtenus jusqu'à présent - assignation à résidence pour certains, détention provisoire pour Ivanov - préservent le théâtre des poursuites tout en laissant une marge de manœuvre pour des résolutions négociées, conformément aux affaires de cybercriminalité russes antérieures, dans lesquelles les peines sont plus légères que les références occidentales. Pour les défenseurs et les décideurs politiques, cette asymétrie est instructive, car la pression occidentale peut forcer à l'action, mais c'est Moscou qui détermine la manière dont cette action sera mise en œuvre. Il précise également où les perturbations se produiront ensuite (par exemple, les fournisseurs d'hébergement et les courtiers en paiement) et où la résilience persistera (cercles d'opérateurs liés à l'État).

Figure 3 : Photo de l'argent saisi lors d'une opération de la SKR visant Cryptex et UAPS (sources : CyberScoop via SKR)

La théorie de la zone de refuge est devenue plus nuancée

Insikt Group évalue que la relation entre la cybercriminalité russe et les services de sécurité est nuancée, car elle est influencée par de multiples variables. Cette nuance reflète un mélange changeant de liens directs, de facilitation indirecte et de tolérance tacite qui varie selon l'utilité de l'acteur malveillant pour l'État. Ce concept ne tient pas compte des pots-de-vin, des services russes qui cooptent une relation avec des acteurs cybercriminels pour en faire bénéficier l'État, ni des rivalités qui peuvent exister entre les agences gouvernementales russes. Ces incitations et rivalités expliquent pourquoi certains Nœud (par exemple, les services de monétisation) sont sacrifiés alors que les cercles d'opérateurs centraux ayant une valeur perçue en termes d'intelligence sont isolés.

Sur la base des incidents connus, il est très probable que les cybercriminels russes paient des services de sécurité pour protection; ces services font également appel à des cybercriminels pour soutenir l'État sous la forme de données ou de cyberattaques. Cet accord réciproque crée un "refuge" conditionnel qui se resserre ou se relâche en fonction du coût politique, de la pression extérieure et de l'utilité continue de l'acteur malveillant. Si l'acteur malveillant devient trop important ou ne fournit pas un soutien suffisant, les services de sécurité utiliseront leurs pouvoirs légitimes pour cibler ou harceler la victime avec leurs pouvoirs légitimes de maintien de l'ordre. Une telle application épisodique doit être considérée comme une gouvernance du marché, et non comme son éradication.

Toutefois, une fois la phase d'enquête terminée, les récentes condamnations prononcées par les tribunaux russes ont maintenu l'image de la Russie en tant que refuge, par exemple, malgré l'arrestation par les autorités russes de plusieurs REvil acteur malveillant en 2023. REvil acteur malveillant n'ont pas été condamnés à des peines similaires à celles qu'ils pourraient recevoir aux États-Unis. Selon des sources ouvertes ( reporting), les tribunaux russes ont condamné ces personnes à des peines avec sursis. Cette décision est similaire aux arrestations précédentes, telles que celles liées à RBS Worldpay, pour lesquelles les suspects ont été condamnés à des peines avec sursis. Les résultats indulgents indiquent aux acteurs malveillants nationaux que tant qu'il n'y a pas de cibles en Russie et dans la Communauté des États indépendants (CEI), ils recevront des sanctions limitées pour leurs activités, ce qui renforce la crédibilité du pacte malgré les arrestations qui font la une des journaux.

Insikt Group estime que, dans certains cas au moins, les autorités russes étaient probablement au courant de l'existence de ces acteurs malveillants et n'ont agi que sous la pression de l'Occident. Cela correspond à un modèle de "pression-réponse" dans lequel Moscou donne la priorité à la gestion de la réputation plutôt qu'au démantèlement de réseaux stratégiquement utiles. Les acteurs malveillants ne fournissaient pas d'éléments de valeur à l'État par rapport à la pression exercée sur les autorités russes. Par exemple, dans le cas de Cryptex, les autorités russes ont ouvert une enquête, identifié plus de 100 personnes et développé un motif d'arrestation dans le cadre de leur régime juridique. En outre, les tribunaux ont décidé que Sergey Ivanov devrait rester en détention jusqu'en décembre 2024. Le principal organisme d'enquête était le comité d'enquête, et non le ministère de l'intérieur ou le FSB. Quel que soit l'organisme d'enquête, ce délai semble peu réaliste pour une opération multirégionale aussi complexe, ce qui indique que cet acteur malveillant était probablement suivi depuis un certain temps avant l'opération. Cela se reflète également dans des messages publics sur des forums criminels, où un acteur malveillant a déclaré que Cryptex devait avoir été sous la surveillance des autorités russes pendant un certain temps pour que cela se produise. L'ensemble de ces facteurs suggère que l'opération était un levier prépositionné - activé lorsque les coûts internationaux ont augmenté - plutôt qu'une répression spontanée.

Les sources cybercriminelles russophones n'ont publié que très peu de messages à ce sujet. Plusieurs acteurs malveillants sur le forum de Korovka ont manifesté leur consternation et leur surprise face à l'action générale des forces de l'ordre russes. Plusieurs acteurs vérifiés du forum malveillant ont également hésité à utiliser des services similaires à Cryptex et des forums à la lumière des actions récentes. Cet effet dissuasif sur les services d'encaissement illustre la manière dont la pression ciblée modifie le calcul des risques souterrains, même lorsque les principaux opérateurs de ransomware restent intacts.

Le ciblage d'Ivanov et de Cryptex pourrait être dû à l'agence qui a mené l'opération, ou au fait qu'Ivanov et Cryptex étaient uniquement liés à l'argent plutôt qu'à la fourniture d'informations et de données aux autorités russes. Cette distinction - l'argent par rapport à l'utilité du renseignement - est essentielle pour déterminer où la protection est étendue ou retirée. Certains membres de la Conti ont laissé entendre que les services de renseignement étaient neutres ou favorables aux opérations de ransomware, tandis que la police (comme le SKR ou le MVD) était du même côté que les services américains (c'était à peu près à l'époque où la coopération entre la Russie et les États-Unis était limitée après l'attaque du ransomware par le Colonial Pipeline en 2021). Cette division permet de concilier la tolérance des opérateurs et la pression exercée sur les facilitateurs.

En revanche, Insikt Group n'a constaté qu'une activité opérationnelle limitée en Russie visant les membres de Conti (et de ses multiples groupes dissidents), et une grande partie de cette activité semble être perçue comme du harcèlement ou de l'intimidation de la part de diverses autorités. Le harcèlement sans poursuites décisives préserve l'influence sur l'acteur malveillant tout en évitant la perte stratégique d'une capacité de procuration utile. Sur la base de fuites de chats et de messages publics sur des sources criminelles, Insikt Group a identifié Tinker, Bio et Angelo comme ayant eu des interactions avec les autorités russes. Cependant, Kovalev, le directeur de Conti, était connu des services de sécurité russes. En outre, d'autres membres étaient associés aux services de renseignement russes ; les membres de Conti partageaient ouvertement des informations avec les services de renseignement pour répondre à leurs besoins, ce qui était probablement plus utile au gouvernement russe que les organisations de blanchiment d'argent. Cette asymétrie de traitement est une caractéristique essentielle de la "politique de protection" du pacte.

Dans les sources criminelles russes, la plupart des discussions sur les arrestations liées à Conti et à Trickbot se sont limitées à la manière dont les autorités russes ont eu connaissance d'Angelo et au rôle d'Interpol dans l'arrestation d'Angelo. Cette approche étroite montre que les préoccupations de la communauté portent sur les voies d'exposition, et non sur l'attente fondamentale que les opérateurs de grande valeur soient soumis à des sanctions nationales sévères.

Impact sur la confiance et le recrutement des cybercriminels

Dans ce contexte de protection sélective et de sacrifices ciblés, les signaux du marché à l'intérieur de la clandestinité ont évolué d'une manière qui correspond directement à la structure des incitations et au calcul des risques du Dark Covenant.

Depuis le début de l'opération Endgame (mai 2024), Insikt Group a observé une diminution du nombre d'annonces de programmes d'affiliation RaaS ouverts sur le dark web, en particulier liés à des groupes de ransomware crédibles et actifs depuis longtemps. Cependant, le nombre de nouvelles publicités RaaS était encore significatif - nous avons vu au moins 21 programmes d'affiliation RaaS ouverts lancés depuis mai 2024. Les principales plateformes de publicité étaient Ramp, XSS, BreachForums 2 et Telegram. Pour la même période, nous avons observé qu'en plus des pays de la Communauté des États indépendants (CEI), les opérateurs de ransomware bloquent toute attaque contre les pays du BRICS (Chine, Inde, Brésil, Afrique du Sud, Russie, Égypte, Éthiopie, Indonésie, Arabie saoudite et Émirats arabes unis). Ransomware les opérateurs préfèrent toujours les membres affiliés russophones aux anglophones car ils estiment que les anglophones sont plus susceptibles d'être des chercheurs ou des agents des services répressifs occidentaux qui peuvent représenter un risque important pour eux.

Moins d'annonces ouvertes et un pivot vers un recrutement semi-fermé sont des adaptations rationnelles à l'infiltration perçue et à l'application sélective au niveau national. Les opérateurs tentent de maintenir leur chiffre d'affaires tout en réduisant leur surface d'exposition. L'émergence continue de nouveaux programmes, en dépit de la pression exercée par la presse, montre que l'activité sous-jacente reste attrayante, mais que la barre de la confiance est plus haute et que les barrières culturelles sont plus nombreuses. Les exclusions explicites des BRICS en matière de "non-attaque" reflètent les limites politiques de la protection : éviter les représailles contre des États considérés comme amis ou stratégiquement importants réduit le risque de perdre la couverture nationale. Enfin, la préférence pour les affiliés russophones est à la fois un filtre OPSEC et un signal social, privilégiant le groupe le plus lisible pour les protecteurs et le moins susceptible d'attirer l'attention de l'Occident, renforçant ainsi la manière dont le comportement du marché et la tolérance de l'État coévoluent au sein du Pacte noir.

Recrutement ou vérification des membres affiliés

Au cours de la période de recherche, nous n'avons pas observé de changements significatifs dans les processus de recrutement et d'approbation des membres des organisations affiliées de lutte contre les ransomwares. Toutefois, depuis l'opération Endgame, nous avons observé que de nombreux propriétaires de ransomwares sont devenus plus sélectifs dans l'embauche de membres affiliés. Les mécanismes de base restent intacts, mais le seuil d'entrée a été relevé. En fin de partie, les opérateurs intègrent un risque de détection plus élevé en réduisant la surface d'attaque - en favorisant les cercles connus, en renforçant le filtrage et en externalisant le risque vers les filiales - plutôt qu'en restructurant le modèle RaaS en tant que tel.

Les restrictions susmentionnées ont probablement été mises en place en raison des fréquentes tentatives d'escroquerie et d'un certain nombre de membres affiliés non qualifiés de RaaS. Les 11 et 12 août 2025, l'acteur malveillant "MikeMelton", membre du groupe CHAOS Ransomware, a posté sur le forum Ramp qu'auparavant, ce type de forum était un lieu privilégié pour faire des affaires et nécessitait une réputation parfaite et la caution d'autres membres crédibles de la communauté dark web. Cependant, récemment, des activités telles que le piratage et le carding ont commencé à attirer un grand nombre d'individus ou d'agents non qualifiés et inexpérimentés, ce qui rend tous les fils de discussion immédiatement publics ; c'est pourquoi les membres ont cessé de partager leur expérience. C'est actuellement un lieu de commerce et d'escroquerie. Selon l'acteur malveillant, la réputation n'est basée que sur un dépôt sur les forums, mais pas sur une activité réelle. Cette complainte illustre bien le changement structurel : le contrôle de la réputation s'est dégradé sous la pression, de sorte que les marchés se contentent de garanties financières et d'un contrôle en circuit fermé. En termes de Dark Covenant, à mesure que la tolérance de l'État devient plus conditionnelle et que la pression extérieure augmente, les acteurs clandestins malveillants s'autorégulent avec des coûts plus élevés et des cercles plus étroits, sacrifiant ainsi l'ouverture à la survie.

Figure 4 : MikeMelton a donné son avis sur la réputation et l'évolution de la communauté dark web; le message a été traduit à l'aide de Google Translate (sources : Ramp Forum).

Exemples d'augmentation ou de diminution de la confiance parmi les membres affiliés de RaaS

Depuis 2024, nous avons observé des messages sur les forums dark web où des acteurs malveillants se plaignaient de participer à des programmes d'affiliation RaaS, affirmant que les propriétaires de ransomwares les avaient escroqués. Cette érosion de la confiance renforce le passage d'annonces ouvertes à un recrutement fermé et garanti, conformément à la logique d'autoprotection de la convention.

Litige avec un membre affilié de Qilin RaaS

Le 22 juillet 2025, l'acteur malveillant "hastalamuerte" sur le forum Ramp a déposé une plainte contre "Haise", un opérateur et représentant de Qilin Ransomware Group sur le site pénal sources. hastalamuerte a accusé Haise de ne pas leur avoir versé leur part de la rançon. L'acteur malveillant a déclaré que son équipe était affiliée au groupe Qilin Ransomware et qu'elle avait ciblé quatorze victimes au cours des derniers mois et demi. Ils ont déclaré avoir conclu un accord avec Qilin Ransomware Group pour recevoir 200 000 dollars pour ces victimes, mais le soutien de Qilin a soudainement disparu, et hastalamuerte a estimé un manque à gagner de 48 000 dollars. Ce type de litige public pour non-paiement érode la fiabilité perçue des "plateformes" RaaS, poussant les opérateurs vers des modèles d'affiliation plus stricts, garantis et culturellement protégés, en accord avec la logique d'autoprotection de la convention.

En réponse à cette allégation, Haise a répondu que hastalamuerte est affilié à "DevManager" (acteur malveillant "Devman"), qui a essayé de travailler avec Qilin et de fournir des réseaux d'entreprise. Selon M. Haise, Devman a publié ces victimes avant de clore les négociations sur son propre site d'extorsion, Devman Blog. En outre, Devman aurait tenté de voler le code source du ransomware Qilin et d'embaucher l'un de ses développeurs. Ils ont également mentionné un autre membre affilié "bizarre" qui a ciblé vingt Entité et a refusé de les publier sur le blog d'extorsion de Qilin. hastalamuerte a répondu qu'ils étaient devenus affiliés à un ransomware par l'intermédiaire d'un collège de Devman et qu'ils n'avaient pas caché qu'ils se connaissaient. Le litige a été clos par l'administration du Forum de la rampe le 31 juillet 2025, sans conséquences négatives pour Haise. Un arbitrage qui favorise l'opérateur par rapport à l'affilié signale une asymétrie de pouvoir au sein des écosystèmes RaaS et décourage les dénonciations futures, mais il accélère également le risque de fuite des affiliés que les opérateurs contrent ensuite par des dépôts, des vérifications KYC-lite et un recrutement fermé.

Les conflits entre les membres affiliés et les propriétaires de RaaS sont apparus plus tôt. Parmi les exemples les plus notables, on peut citer le conflit entre le groupe de ransomware ALPHV, actuellement dissous, et son ancien affilié "notchy".

L'émergence des imitateurs de rançongiciels (Ransomware)

Au cours du second semestre 2024 et en 2025, Insikt Group a observé de nombreux cas d'émergence d'usurpateurs d'identité de groupes de ransomwares ayant des intentions d'escroquerie pure. Parmi ces groupes figurent RebornVC, Babuk 2.0, Bjorka Spirit (Ransomware), GD LockerSec, FunkSec, Dispossessor et Rabbit Hole. La prolifération des usurpateurs dilue la crédibilité de la marque dans l'ensemble de l'écosystème, accélère la "fuite de la confiance" vers des cercles fermés et augmente les coûts d'acquisition pour les affiliés légitimes - des résultats qui s'alignent sur le passage du Dark Covenant de marchés ouverts à des réseaux étroitement gérés et tolérés par l'État.

Par exemple, le 26 janvier 2025, le ransomware Babuk v. 2.0 a été publié sur le dark web et comprenait une annonce concernant son programme d'affiliation. Le groupe de menace a publié les principales conditions du programme, indiquant qu'il ne cible pas les hôpitaux (à l'exception des cabinets privés de chirurgie plastique et des cliniques dentaires), les fondations caritatives à but non lucratif, les écoles (à l'exception des grandes universités) ou les petites entreprises (sociétés dont le chiffre d'affaires annuel est inférieur à 4 millions de dollars). Il convient de mentionner que l'analyse des victimes affichées sur le site d'extorsion a révélé que 90% d'entre elles avaient déjà été répertoriées par d'autres groupes de ransomware. Selon l'équipe de recherche et de renseignement (GRIT) de GuidePoint, sur les 64 victimes initialement répertoriées par les opérateurs de ransomware sur le site web d'extorsion, 26 victimes avaient été répertoriées par le groupe FunkSec, 26 victimes par le groupe RansomHub Ransomware et quatre par le groupe LockBit 3.0 Ransomware. Les listes de victimes recyclées suggèrent un "détournement de signal" opportuniste, érodant la valeur informative des sites de fuite et sapant l'effet d'extorsion - une autre force poussant les opérateurs vers des canaux sélectionnés et des partenariats approuvés.

En janvier 2025, les opérateurs du ransomware Babuk 2.0 ont annoncé leur coopération avec l'acteur malveillant "Bjorka" (en même temps que le groupe GD LockerSec Ransomware ). Ces "partenariats" fluides fonctionnent comme un arbitrage de réputation : les usurpateurs empruntent le capital de la marque pour attirer les affiliés et les victimes, tandis que les vrais opérateurs réagissent en renforçant les contrôles de vérification et de provenance. Presque immédiatement en janvier 2025, Insikt Group a observé une augmentation des activités sur Telegram associées à "Bjorka Spirit (Ransomware)", un prétendu groupe de ransomware exploité par l'acteur malveillant Bjorka. Nous estimons que Bjorka ne gère pas un groupe de ransomware, mais qu'il mène des activités de piratage et de fuite de données. Cependant, le groupe Telegram indique une coopération active entre Bjorka et des opérateurs de groupes de ransomware tels que Babuk Locker 2.0, GD Locker, FunkSec, et d'autres encore.

Insikt Group a identifié d'autres discussions sur le site dark web concernant l'acteur malveillant "SkyWave", un membre présumé du groupe Babuk 2.0 Ransomware, où les utilisateurs ont affirmé que les pseudonymes SkyWave, "Bjorkanism" et "BabukLocker" sont tous utilisés par le même individu, Aditya Dani Herlambang. Aditya est né le 17 mars 2009, est de sexe masculin, et se trouve probablement à Pangkot, Manado Sulawesi Utara, Indonésie.

Nous estimons que tous ces groupes de menace sont gérés par la même équipe de cybercriminels qui publie constamment des données déjà divulguées sur le dark web. Telegram a interdit plusieurs canaux Telegram exploités par les groupes susmentionnés en raison de la violation de ses conditions d'utilisation ; cependant, les faibles barrières d'entrée de Telegram permettent un changement rapide de marque et une capture d'audience, ce qui augmente le bruit et incite encore plus les acteurs malveillants sérieux à faire migrer les négociations hors des canaux publics.

À partir de mai 2024, Insikt Group a observé davantage d'exemples de groupes de ransomware et d'extorsion de données publiant ou revendant des données déjà compromises, tels que le groupe Dispossessor Ransomware, aujourd'hui disparu (qui rediffuse principalement les victimes de LockBit 3.0) et le Rabbit Hole Blog (qui revend des données déjà divulguées par divers groupes de ransomware). Les systèmes d'usurpation d'identité et de revente sont des bruits de marché qui renforcent les arguments en faveur de constellations d'acteurs malveillants plus petites et protégées - celles qui ont le plus de chances d'être lisibles pour les protecteurs nationaux et les moins exposées aux pressions occidentales.

Perception interne et discussion au sein de la communauté

Discussion sur la sécurité opérationnelle

Tout au long des itérations 2024 et 2025 de l'opération Endgame, Insikt Group a observé de nombreux fils de discussion sur des forums de haut niveau tels que Exploit et XSS, discutant des démantèlements et des arrestations, en particulier en ce qui concerne la désanonymisation par les forces de l'ordre TTPs, les changements de sécurité opérationnelle recommandés et le calcul des risques liés à la participation à des projets MaaS. Insikt Group a observé que les utilisateurs s'exhortent de plus en plus à passer à des plateformes de messagerie décentralisées, arguant du fait que les plateformes de communication centralisées et les fournisseurs de courrier électronique se conforment à l'application de la loi. De nombreux utilisateurs ont recommandé de déplacer les communications de Telegram vers des plateformes telles que Session, Jabber et Tox, bien que de nombreux utilisateurs aient également cité la vulnérabilité de Tox, telle que la fuite d'adresses IP entre les utilisateurs. L'Insikt Group a également observé plusieurs fils de discussion sur la sécurité du navigateur Tor, l'un d'entre eux exprimant son scepticisme quant aux mises à jour du navigateur, de Whonix et de Qubes, ainsi que d'autres guides publiés sur la manière d'utiliser le navigateur en toute sécurité. De nombreux utilisateurs recommandent une approche multicouche de la sécurité opérationnelle, notamment l'utilisation de Tails, de machines virtuelles, du navigateur Tor et des réseaux Wi-Fi des voisins plutôt que du sien. Nous avons également observé des fils de discussion posant spécifiquement la question de la protection des données sur les ordinateurs et les téléphones portables en cas de saisie par les forces de l'ordre, plusieurs utilisateurs suggérant l'utilisation de volumes cachés VeraCrypt pour sécuriser les disques durs. Les utilisateurs ont également comparé la sécurité des différents systèmes d'exploitation mobiles et la volonté des fabricants de déverrouiller les appareils saisis. La plupart des utilisateurs s'accordent à dire qu'il faut éviter de faire confiance à iOS et Android, et plusieurs utilisateurs recommandent plutôt GrapheneOS, tandis que d'autres rejettent tout simplement l'idée d'avoir un smartphone, estimant qu'il n'est pas sûr, et insistent pour n'utiliser que d'anciens téléphones à brûleur.

D'un point de vue analytique, ce pivot OPSEC reflète le Pacte noir dans la pratique : lorsque la tolérance de l'État devient conditionnelle et que la pression occidentale augmente, l'acteur malveillant réduit l'exposition centralisée, élève la barre technique à l'entrée et privilégie les canaux internes au groupe, échangeant l'échelle contre la capacité de survie. Ces adaptations augmentent les coûts de transaction pour les affiliés (dépôts, vérification et chaînes d'outils) et fragmentent la visibilité pour les défenseurs, mais elles créent également de nouvelles surfaces d'erreur (Tox mal configuré, manque d'hygiène Tor et OPSEC de brûleur) qui peuvent être exploitées. L'effet net est le passage d'une coordination massive et ouverte à des constellations plus petites et semi-fermées, plus lisibles pour les protecteurs nationaux et plus difficiles à infiltrer pour les étrangers.

Parallèlement à l'opération Endgame, les forces de l'ordre russes ont procédé à l'arrestation de plusieurs acteurs malveillants du ransomware, notamment ceux liés à REvil. Dans les chats de BlackBasta qui ont été divulgués, l'un des membres du groupe a évoqué une arrestation liée à REvil qui s'est produite en novembre 2023. En conséquence, le groupe de menace a effacé les portefeuilles et autres données qu'il avait partagés avec l'acteur malveillant de REvil arrêté, ce qui indique une certaine crainte de nouvelles actions de la part des autorités russes chargées de l'application de la loi. Cette réaction souligne la dynamique de "marché gouverné" du pacte : la pression sélective intérieure est suffisamment crédible pour obliger à une hygiène de précaution (purges de portefeuilles et cloisonnement) sans démanteler les écosystèmes de base, renforçant ainsi un refuge conditionnel que Moscou peut resserrer ou relâcher pour gérer les risques et influencer les comportements.

Discussion sur la perturbation de Lumma

Dans un autre fil de discussion sur l'opération Endgame, qui a abouti au démantèlement de l'infrastructure de Lumma Stealer, plusieurs utilisateurs ont exprimé leur incertitude quant à la sécurité du modèle MaaS, arguant du fait que l'opération visait ouvertement les affiliés et les clients de Lumma, plutôt que les seuls développeurs et opérateurs du logiciel malveillant. De nombreux utilisateurs ont déclaré que la seule façon d'opérer était d'écrire vos propres voleurs et logiciels malveillants et de stocker vos propres données en privé, en précisant que les utilisateurs ne devaient pas faire confiance aux fournisseurs de logiciels malveillants "publics" tels que Lumma. L'utilisateur "Theriella" a déclaré que les développeurs de Lumma sont probablement en sécurité en raison de leur présence en Russie, et que même si cela signifie qu'ils doivent donner une part aux "structures" (probablement des institutions telles que les forces de l'ordre), c'est toujours mieux que d'opérer sur les territoires américains ; un autre utilisateur a répliqué en disant que finalement "l'argent manquera et les vôtres vous mangeront jusqu'à l'os". Ce débat illustre bien le compromis du Dark Covenant : le MaaS de base maximise l'échelle mais favorise l'exposition transfrontalière, tandis que les modèles "write-your-own, keep-your-own-data" réduisent la visibilité et recentrent la protection sur les liens nationaux - en particulier si les développeurs peuvent se "taxer" auprès des structures locales pour se couvrir. La perception selon laquelle les développeurs basés en Russie sont plus sûrs, même s'ils partagent les recettes avec des "structures", renforce une logique de marché gouverné dans laquelle la proximité des protecteurs se substitue à la confiance dans les plateformes.

Plusieurs utilisateurs ont également affirmé qu'en dépit de la perturbation, Lumma était "restée privée" via des canaux fermés, ce qui correspond aux observations des chercheurs concernant la poursuite des infections et la disponibilité des journaux. Notamment, depuis septembre 2025, Lumma semble avoir repris ses activités publiques, avec un message publié le 29 août 2025 sur le forum Ramp, annonçant des mises à jour de Lumma et incluant un arbre de liens (usrlnk[.]io/lumma). ainsi qu'un identifiant Telegram ([@]lummaseller128) pour acheter l'accès au panel. Cette oscillation, du public au privé et vice-versa, illustre les schémas de résilience courants dans les écosystèmes alignés sur les conventions : resserrer les rangs sous la pression, monétiser discrètement lorsque la situation est intense, puis réapparaître lorsque l'attention portée à l'application de la loi se déplace. Pour les défenseurs, cela signifie que les retraits de fonds réduisent temporairement la liquidité mais n'éliminent pas la capacité ; pour les décideurs politiques, cela indique qu'un impact durable nécessite une pression soutenue à la fois sur les opérateurs et sur les incitations nationales qui permettent leur retour.

Discussions sur les personnes inculpées

En plus d'analyser les fils de discussion individuels, Insikt a également suivi les activités des utilisateurs impliqués dans l'opération Endgame et les discussions relatives à leurs activités sur le forum. Nous avons observé que plusieurs utilisateurs cités dans l'opération, tels que "Jimmbee" (Aleksandr Stepanov), "psevdo" et Chuck, restent membres de leurs forums respectifs et n'ont pas été bannis par les administrateurs. D'autres utilisateurs, comme le développeur de Lumma ("Shamel"), ont été bannis du forum à leur propre demande. La présence continue d'utilisateurs nommés, en l'absence d'interdictions universelles, indique que la gouvernance souterraine donne la priorité à l'utilité et à la réputation sur les désignations externes, renforçant ainsi la logique du pacte selon laquelle le capital social et la perception de protection peuvent compenser l'exposition publique.

Les utilisateurs des forums Exploit et XSS ont également fait part de leurs réflexions sur le sort des personnes nommées et arrêtées dans la campagne. Dans un fil de discussion sur le démantèlement du DanaBot et les arrestations effectuées dans le cadre de l'opération Endgame, l'utilisatrice Theriella a évoqué la possibilité que les suspects soient recrutés par le gouvernement américain ou russe, affirmant que dans ce dernier cas, ils seront "forcés de travailler pour le gouvernement dans une cage dorée avec un collier". Ce récit de la "cage dorée" s'aligne sur la dynamique du Dark Covenant : la coercition sélective convertit les criminels hautement qualifiés en atouts semi-déniables, préservant les capacités tout en resserrant l'influence de l'État. Le même fil de discussion aborde les erreurs de sécurité opérationnelle qui ont été commises à la suite d'une vulnérabilité de fuite de mémoire dans le code du DanaBot lui-même, qui a permis de divulguer des noms d'utilisateur d'acteurs malveillants, des adresses IP, des domaines et adresses d'infrastructures de commande et de contrôle (C2), des clés privées et bien plus encore. Dans un autre fil de discussion XSS sur l'opération 2024, les utilisateurs ont analysé les vidéos de l'opération Endgame publiées sur le site Web de démantèlement, discutant des noms d'utilisateur liés à un individu, ou théorisant sur ce que les forces de l'ordre savent de divers individus et sur les "balances" qui ont conduit aux arrestations.

La spéculation sur les attributions et la chasse aux "rats" fragmentent la confiance et poussent l'acteur malveillant à se cloisonner davantage, ce qui est cohérent avec le passage des forums ouverts aux cercles restreints. Un autre utilisateur, "Asist", a déclaré que le compte associé à SmokeLoader ("SmokeLdr") devrait être banni pour des raisons de sécurité, bien qu'en septembre 2025, le compte soit toujours présent sur le forum. La réticence à interdire les marques traditionnelles souligne le poids de la réputation et du potentiel de revenus, même en cas de problèmes de sécurité.

Les discussions sur les opérations de répression elles-mêmes semblent également susciter des discussions plus existentielles sur les forums concernant l'analyse coûts-avantages de l'engagement dans la cybercriminalité à motivation financière. Dans un fil de discussion sur Exploit Forum, l'utilisateur "RichAsHell" a commenté la difficulté de réaliser des profits élevés par le biais d'activités cybercriminelles, en particulier pour ceux qui débutent, en déclarant que le risque de passer des dizaines d'années en prison rend plus attrayant le fait de travailler dans le "blanc" (entreprise non criminelle) pour réaliser des profits comparables. Cette réévaluation reflète l'augmentation des coûts de transaction (dépôts, contrôle plus strict, canaux fermés) et la perception d'un risque élevé - effets en aval évidents de l'opération Endgame et de l'application conditionnelle de la législation nationale. Le sujet était controversé parmi les utilisateurs d'Exploit, certains affirmant que la cybercriminalité était plus rentable que n'importe quel travail "blanc" dans les anciens pays de la CEI ou dans d'autres économies en difficulté financière telles que celles d'Afrique et d'Asie du Sud-Est, en particulier en dehors des grandes villes.

Les récits de griefs économiques contribuent à maintenir le recrutement malgré un risque plus élevé, mais ils poussent également les opérateurs à se professionnaliser et à centraliser le contrôle sur les participants. L'utilisateur "Ex0rci$t" a indiqué qu'au moment de la création d'Exploit, le code pénal de la Fédération de Russie ne prévoyait aucune sanction pénale pour le carding, citant l'incertitude quant à la criminalisation future des activités des forums en Russie. Cette incertitude juridique est une caractéristique de l'espace conventionné : l'ambiguïté préserve la flexibilité de l'État pour faire pression ou protéger selon les besoins, en maintenant un effet de levier sur le marché tout en évitant les engagements catégoriques.

Changements politiques transnationaux dans un environnement de fin d'opération

Les gouvernements occidentaux continuent d'évoluer dans leur politique à l'égard des ransomwares, en adoptant principalement une position proactive et en mettant en œuvre des lignes directrices en matière de divulgation afin que les services répressifs et les gouvernements puissent réellement mesurer la menace que représentent les ransomwares. L'environnement extérieur passe ainsi d'une perturbation épisodique à une mesure et une pression continues, ce qui augmente le coût des affaires pour les écosystèmes basés en Russie tout en mettant en lumière les domaines dans lesquels la protection nationale permet de maintenir l'activité malgré l'exposition.

Parallèlement, les États-Unis et la Russie ont engagé des efforts diplomatiques qui ont abouti à la libération de plusieurs cybercriminels russes condamnés (Alexandr Vinnik, Roman Seleznev et Vladislav Klyushin), ce qui pourrait signifier que si un acteur malveillant incarcéré est suffisamment important, ils peuvent envisager cette option dans le cadre de leurs négociations. Klyushin et Seleznev ont été libérés en août 2024 dans le cadre d'un échange multinational. Klyushin avait été arrêté pour son rôle dans un système d'escroquerie dans lequel Klyushin et d'autres personnes ont piraté des réseaux informatiques pour voler des informations confidentielles sur des entreprises qui ont été utilisées pour réaliser des profits de 93 millions de dollars sur le marché boursier. Klyushin a probablement été libéré en raison des contrats de son entreprise avec le Kremlin et du fait que l'un de ses coaccusés est un officier du GRU qui a été impliqué dans le piratage du Comité national démocrate en 2016. Roman Seleznev, qui a été associé à divers systèmes de piratage et de fraude à la carte de paiement, a probablement été libéré parce qu'il est le fils de Valery Seleznev, membre de la Douma russe. Alexander Vinnik a été libéré en février 2025 et avait plaidé coupable d'avoir blanchi des milliards de dollars en crypto-monnaie. Avant le retour de Vinnik en Russie, le ministère russe de l'intérieur a mené sa propre enquête pour empêcher son extradition vers les États-Unis. Grâce à l'échange de prisonniers, la Russie a abandonné les poursuites pénales engagées contre lui et il a été libéré à son retour en Russie. Ces échanges soulignent la façon dont les acteurs malveillants de grande valeur fonctionnent comme des actifs géopolitiques ; la possibilité d'échange ou de protection réduit la dissuasion pour les élites et renforce la logique du pacte selon laquelle la proximité avec le pouvoir de l'État peut compenser le risque juridique à l'étranger.

Depuis le début de l'opération Endgame, de multiples attaques par ransomware en provenance de Russie ont continué à cibler des entités occidentales, ce qui a obligé les gouvernements de nombreux pays à réévaluer leur approche du paiement des ransomwares, des négociations avec les opérateurs de ransomwares, des procédures reporting et de l'identification des principaux Adversaire. Vous trouverez ci-dessous une liste des principaux changements législatifs intervenus ces dernières années aux États-Unis et dans d'autres pays très ciblés. En 2025, les États-Unis ont signé deux décrets présidentiels(1, 2) visant à renforcer le dispositif de cybersécurité qui protège l'infrastructure américaine de l'internet et des télécommunications. La loi permet également au gouvernement américain de prendre des mesures plus efficaces contre les cyberattaques orchestrées par les gouvernements de la Russie, de la Chine, de l'Iran et de la Corée du Nord, et implique l'élaboration de normes minimales de cybersécurité pour les sous-traitants technologiques du gouvernement, en mettant l'accent sur la Chine. En formalisant les autorités et les normes, les États occidentaux réduisent l'espace gris dans lequel opèrent les acteurs criminels tolérés par l'État, ce qui fait qu'il est plus difficile pour les groupes de menace basés en Russie de s'appuyer uniquement sur la protection nationale lors de leurs transactions internationales.

En outre, le Japon adopte une approche cybernétique plus offensive. Le 16 mai 2025, le Japon a mis en œuvre une nouvelle loi sur la cyberdéfense active qui permet aux autorités japonaises de mener des cyberopérations offensives contre les infrastructures hostiles et Adversaire, notamment en infiltrant et en neutralisant les serveurs hostiles avant toute activité malveillante, et en réduisant le niveau des attaques contre le Japon. Cette normalisation de l'action préemptive indique que la pression extérieure sur les écosystèmes basés en Russie inclura la défense active - et pas seulement le nettoyage post-incident - comprimant les fenêtres opérationnelles que le pacte cherche à préserver.

La visibilité des paiements et les interdictions réduisent la liquidité des écosystèmes RaaS, augmentent le risque de négociation et affaiblissent le pouvoir d'extorsion. Cela limite le canal de monétisation que le site protection ne peut à lui seul garantir, obligeant les acteurs malveillants basés en Russie à s'adapter ou à perdre leur rentabilité.

Adaptations opérationnelles par les cybercriminels russes

En avril 2025, les forces de l'ordre russes ont arrêté le PDG d'Aeza Group, Arseniy Penzyev, et son cofondateur, Yuri Bozoyan, pour leur rôle présumé dans l'hébergement de la place de marché du darknet BlackSprut, une plateforme qui avait déjà attiré l'attention du public par le biais de panneaux publicitaires inexpliqués à Moscou. Alors que les autorités russes ont toujours toléré ou ignoré de nombreux fournisseurs d'hébergement faisant de la publicité sur des forums criminels, le lien direct d'Aeza avec le marché national des stupéfiants semble avoir franchi un seuil politique qui a motivé l'intervention. Cet incident illustre la manière dont les mesures d'application de la loi en Russie peuvent être prises de manière soudaine et sélective, sans signaler un changement de politique plus large. Lorsque l'infrastructure criminelle attire l'attention du public ou du monde politique, la tolérance se réduit et les autorités en subissent les conséquences, alors même que les opérations cybernétiques ou d'influence adjacentes ne sont pas entravées.

Les arrestations d'Aeza ont été suivies d'une perte de confiance considérable dans le fournisseur au sein de l'écosystème cybercriminel, avec de nombreuses plaintes d'utilisateurs concernant des temps d'arrêt et des suspensions de paiement sur des forums tels que LolzTeam (qui a entraîné l'interdiction du compte d'Aeza pour "escroquerie"). De nombreux autres TAE russes, tels que CloudBlast et VDSina, ont rapidement comblé le vide laissé par Aeza, en offrant des "services aux réfugiés" ciblés. En outre, le gouvernement américain a annoncé des sanctions à l'encontre d'Aeza en juillet 2025, et le Royaume-Uni a fait de même en septembre 2025 pour son rôle dans diverses opérations de ransomware. Peu après la désignation par l'OFAC, Insikt Group a observé les mesures prises par Aeza pour diversifier sa marque et transférer certaines parties de son infrastructure au fournisseur serbe Smart Digital Ideas D.O.O. et à Hypercore Ltd. basé au Royaume-Uni, probablement pour protéger ses actifs de propriété intellectuelle. Parallèlement, l'entreprise continue de s'appuyer sur des systèmes financiers russes tels que WebMoney, YooMoney et Mir pour les paiements.

Nous estimons qu'il s'agit probablement d'une tentative de la part d'Aeza de conserver ses actifs de propriété intellectuelle, tout en équilibrant les opérations entre les stratégies d'application de la loi imposées par les gouvernements occidentaux et les autorités russes chargées de l'application de la loi. Notamment, Aeza a également été lié à l'hébergement d'une partie de l'infrastructure de la Campagne de désinformation pro-Kremlin Doppelgänger, active en Europe depuis au moins 2022, tout en ayant son siège dans l'ancien centre PMC Wagner. Cela suggère que si les autorités russes peuvent tolérer et même utiliser des services d'hébergement liés à la cybercriminalité pour leurs propres opérations, il est possible que l'association directe avec la distribution nationale de stupéfiants ait introduit une sensibilité politique qui semble avoir motivé l'intervention. L'approche de la diversification géographique est une adaptation criminelle typique au sein de l'écosystème de l'hébergement, en particulier pour les organisations opérant dans des juridictions avec différents niveaux de tolérance : migrer l'infrastructure à l'étranger tout en ancrant la monétisation dans le pays, en préservant l'accès à la protection et aux paiements nationaux, même si la pression de la réputation et de la réglementation s'accroît.

D'un autre côté, des entreprises présumées de transfert de technologie telles que Stark Industries et Zservers ont fait preuve d'une certaine résilience pour s'adapter aux mesures d'application occidentales, y compris les sanctions. Stark Industries a probablement profité des médias ( reporting ) pour migrer à titre préventif une partie de son infrastructure vers UFO Hosting, basé à Moscou, afin d'assurer la continuité de ses opérations. Avant ces sanctions, Stark Industries aurait également coopéré avec les services de police occidentaux dans le cadre de l'opération Endgame. Insikt Group n'a pas observé d'actions similaires de la part de Zservers, qui a également été sanctionnée. Il est à noter que son site est toujours actif, bien que plusieurs acteurs malveillants aient indiqué que le service était "mort".

Ces stratégies hétérogènes de repositionnement préventif, de façades étrangères, de diversification des empreintes et de coopération sélective illustrent la manière dont les TAE et les organisations similaires naviguent dans l'environnement opérationnel complexe de la Fédération de Russie et de la Communauté des États indépendants. Ces acteurs malveillants restent utiles pour les priorités de l'État, en fournissant un service clé (infrastructure) tout en permettant à l'État de maintenir un déni plausible au niveau mondial ; toutefois, ces fournisseurs doivent éviter de fournir des services pour des questions sensibles au niveau national afin d'éviter des mesures d'application inattendues.

Ransomware S'adapte et se développe malgré les pressions extérieures

Les principales tendances observées par Insikt Group depuis le début de l'opération Endgame peuvent être divisées en deux groupes : celles qui ont continué à évoluer par rapport à la période couverte par le rapport précédent et les nouvelles tendances qui ont modifié de manière significative le paysage des menaces, le contexte des menaces des ransomwares. Ces tendances reflètent un marché qui recherche le volume et la dispersion pour compenser l'application de la loi, tout en concentrant la confiance et la protection là où la couverture nationale est la plus forte. Parmi les principales tendances d'évolution, on peut citer les suivantes :

Premièrement, une croissance stable du nombre de nouvelles variantes de ransomware. Par exemple, de mai à décembre 2024, nous avons identifié au moins 192 nouvelles variantes de ransomware. De janvier à septembre 2025, le nombre de nouvelles variantes était de 236. La majorité des variantes proviennent de fuites de code source et de créateurs de familles de ransomwares existantes telles que LockBit, CryLock, Xorist, Proton, GlobeImposter, Chaos, Makop, MedusaLocker, Djvu, Dharma et bien d'autres. Nous estimons que cette tendance se poursuivra et augmentera en volume. Le lancement d'une nouvelle variante de ransomware peut attirer l'attention des médias, ce qu'un acteur malveillant ou un groupe peut parfois souhaiter. Au fur et à mesure que les groupes de menace acquièrent de l'expérience dans le développement et le déploiement de leurs propres variantes de ransomware à partir de fuites de données, ils ajouteront probablement ce type de vecteur d'attaque à leur site TTPs. Dans certains cas, Insikt Group a observé que des variantes de ransomware prétendument différentes utilisaient des méthodes de communication identiques, ce qui indique que ces acteurs malveillants sont peu crédibles. La prolifération par l'intermédiaire de constructeurs ayant fait l'objet de fuites répand des capacités sans bancs profonds ni protection, produisant des "marques" bruyantes qui attirent l'attention mais manquent de crédibilité - une adaptation au niveau de l'écosystème qui accroît la charge de triage des défenseurs tout en laissant les équipes centrales et protégées relativement isolées. Pour citer quelques exemples :

Deuxièmement, les nouveaux sites d'extorsion de ransomware se sont multipliés. Par exemple, de mai 2024 à décembre 2024, Insikt Group a identifié 34 sites web d'extorsion, et de janvier 2025 à septembre 2025, 60 blogs d'extorsion. L'augmentation du nombre de blogs diversifie les canaux de pression et complique le démantèlement, mais fragmente également la confiance ; les opérateurs sérieux réagissent en orientant les négociations vers des lieux privilégiés, renforçant ainsi la dynamique de cercle fermé conforme au pacte. Toutes les variantes de ransomware n'exploitent pas leur propre blog d'extorsion. Insikt Group évalue qu'il est relativement facile de créer et de déployer une nouvelle variante, mais qu'il existe un goulot d'étranglement quant à savoir si la variante est suffisamment efficace pour obtenir des données sur les victimes afin de lancer un site web d'extorsion.

Troisièmement, les ransomwares se sont tournés vers les pays asiatiques. En 2024, l'Inde était le pays le plus visé en Asie et le septième au monde, avec 100 victimes répertoriées sur les sites d'extorsion. En juin 2025, Israël est devenu le quatrième pays le plus ciblé au monde. Toutefois, il est probable qu'Israël ait été ciblé plus fréquemment que d'habitude ce mois-ci en raison du conflit avec l'Iran, qui a déclenché une vague d'attaques opportunistes de la part de divers cybercriminels. Les changements géographiques reflètent l'opportunisme et la gestion des risques politiques : les acteurs malveillants poursuivent des cibles à haut rendement tout en évitant les juridictions qui menacent le site protection ou déclenchent une réaction disproportionnée.

Quatrièmement, les nouveaux groupes de ransomware continuent d'utiliser des tactiques de pression pour extorquer les victimes, comme les attaques par déni de service distribué (DDoS) ou les appels téléphoniques aux victimes pour les menacer de payer la rançon. Ces nouveaux groupes RaaS continueront également à recruter ouvertement des membres affiliés, principalement via leurs blogs d'extorsion, leurs canaux Telegram ou leurs forums, en particulier le forum Ramp. Les tactiques d'escalade remplacent les taux de paiement en baisse ; l'embauche ouverte persiste à la périphérie du marché, tandis que les marques établies resserrent les barrières - deux voies qui équilibrent le volume et la survie.

Cinquièmement, les opérateurs de variantes de ransomwares basées sur des codes sources divulgués de grandes marques de ransomwares ont largement adopté une autre méthode de pression : le doublement des paiements de rançon si la victime ne paie pas la rançon dans les 24, 48 ou 72 heures suivant l'attaque par ransomware. Les sanctions basées sur le temps visent à réduire les fenêtres de négociation avant que les forces de l'ordre et la réglementation n'interviennent, reconnaissant ainsi un environnement externe plus hostile.

Sixièmement, les groupes de ransomware existants ont continué à changer de nom pour des raisons de sécurité. Le changement de marque sert à rétablir la réputation et à créer un écran de fumée juridique, permettant aux noyaux protégés de perdre de la chaleur tout en conservant les talents, l'infrastructure et l'utilité de l'État à l'intérieur des limites protectrices de la convention.

Changements dans Ransomware TTPs

Depuis mai 2024, Insikt Group a observé différentes approches dans le modèle commercial des opérateurs RaaS et l'évolution de TTPs. Les nouvelles approches que nous avons observées sont décrites à l'annexe B.

Augmentation des rivalités entre les groupes Ransomware

Conflit entre Dragon Force, RansomBay et RansomHub

En avril 2025, Insikt Group a constaté que le groupe Dragon Force Ransomware avait fait plusieurs déclarations controversées concernant son projet "DragonBay" et le groupe RansomHub Ransomware sur le forum Ramp :

Le 25 avril 2025, dragonforce a nié toute attaque contre le RansomHub Ransomware Group sur le forum Ramp. Cependant, le 28 avril 2025, l'acteur malveillant "koley", membre du groupe RansomHub Ransomware, a affirmé que le groupe Dragon Force Ransomware était responsable de l'attaque contre l'infrastructure de RansomHub et de la perturbation de ses opérations. Ils ont également déclaré avoir identifié un traître au sein de RansomHub, une personne portant le surnom de "sarg0n" (peut-être sarg0n, membre de forums Exploit et XSS) dont le nom présumé est "Дмитрий Игоревич Кудинов" avec le compte VK vk[.]ru/id6571635. Par ailleurs, M. Koley a déclaré que le groupe Dragon Force Ransomware avait des contacts au sein du FSB, comme RansomHub. koley a déclaré que l'attaque contre RansomHub était une déclaration de guerre entre les deux groupes cybercriminels.

Dragon Force : Attaques possibles sur Everest, LockBit, BlackLock (Mamona) Ransomware Groupes

Le 18 mars 2025, le groupe Dragon Force Ransomware a annoncé qu'il opérait en tant que cartel de ransomwares Dragon Force.
Dragon Force ransomware cartel, et 24 heures plus tard, il a été observé en train de mener des attaques DDoS et de défigurer des sites web d'extorsion de concurrents, tels que BlackLock Blog et Mamona Blog. Les deux sites sont des variantes du groupe El Dorado Ransomware et sont exploités par le même acteur malveillant, "$$$".

Plus tard, le 5 avril 2025, le site web d'extorsion "Everest Ransom Team" utilisé par le groupe de ransomware Everest a été mis hors ligne après avoir été apparemment piraté et défiguré au cours du week-end précédent. Les listes de victimes sur le site Web ont été remplacées par le message "Don't do crime CRIME IS BAD xoxo from Prague" (Ne commettez pas de crime - le crime est mauvais). Il est difficile de savoir si l'incident est légitime ou qui en est à l'origine (le même message a été posté par un utilisateur inconnu sur le panneau d'affiliation de l'administrateur de LockBit - disponible dans les LockBit Leaked Chats), car les opérations de perturbation des forces de l'ordre, qui se sont multipliées ces dernières années, remplacent généralement les sites web qu'elles ciblent par une page d'accueil annonçant l'opération et identifiant les agences impliquées. La défiguration du blog d'Everest n'est pas censée provenir d'un organisme chargé de l'application de la loi, et aucun affilié n'a été identifié se plaignant d'avoir été "escroqué" sur des forums du dark web. À l'heure où nous écrivons ces lignes, le blog d'extorsion continue de fonctionner. Cependant, il est possible que les groupes de ransomware LockBit et Everest aient été ciblés par Dragon Force.

Impact sur les paiements, les stratégies cibles et la rentabilité

Depuis le début de l'opération Endgame et de nombreuses autres opérations policières réussies dans le monde entier, Insikt Group a analysé les rapports et les statistiques relatifs aux gains et aux pertes financières des opérateurs de ransomware et a constaté qu'ils recevaient moins de paiements de rançons depuis 2024, et que cette tendance se poursuivait au cours du premier semestre 2025. En outre, l'exploitation de la vulnérabilité, les attaques par hameçonnage et les attaques par courriels malveillants sont les principaux vecteurs d'attaque pour infecter les victimes avec un ransomware.

L'analyse du site reporting concernant les paiements de rançons indique que la moyenne des paiements de rançons au cours du premier semestre 2025 a légèrement diminué :

Outlook

Il est peu probable que l'écosystème cybercriminel russe se contracte : il continuera à se reconfigurer. Nous estimons avec une grande confiance que l'application sélective de la loi par la Russie permettra de continuer à brûler le Nœud de monétisation et d'infrastructure consommable tout en isolant les cercles d'opérateurs à haute utilité, en soutenant un refuge conditionnel qui s'adapte, plutôt que de céder, à la pression occidentale. Au cours des six à douze prochains mois, les autorités russes donneront probablement la priorité aux actions contre les facilitateurs à faible utilité (tels que les courtiers en liquidités et les services d'hébergement politiquement sensibles liés à l'optique nationale) tout en évitant de prendre des mesures décisives contre les opérateurs perçus comme ayant une valeur sur le plan du renseignement ou sur le plan géopolitique. Attendez-vous à d'autres affaires de type Cryptex/UAPS et à une ambiguïté persistante concernant les personnalités d'élite citées dans les actions occidentales.

Les frictions liées à l'encaissement augmenteront à mesure que les saisies, les sanctions et les cas épisodiques en Russie perturberont les rails de confiance, ce qui incitera à la diversification par le biais de mélangeurs, de courtiers de gré à gré et de juridictions amies. Il en résulte une augmentation des coûts de transaction et des retards, et non un effondrement des recettes. Parallèlement, l'érosion de la confiance sur les forums continuera à pousser le recrutement et les négociations des marchés ouverts vers des cercles semi-fermés qui exigent des dépôts, des vérifications de type KYC et un cloisonnement culturel. Les publicités RaaS ouvertes persisteront à la marge pour alimenter le volume, tandis que les marques crédibles durciront leurs barrières pour protéger la continuité.

Le changement de modèle d'entreprise persistera. Nous prévoyons une croissance continue des offres d'extorsion de données uniquement, des compléments d'extorsion triple tels que le DDoS et la pression d'appel, et des systèmes d'affiliation de type investissement. La privatisation temporaire - se taire sous la pression, puis refaire surface lorsque l'attention se déplace - restera un modèle de résilience courant, comme on le voit dans les écosystèmes de voleurs d'informations sur les produits de base. L'effet net : des cycles d'exposition publics plus courts et des fenêtres de monétisation privées plus longues.

L'OPSEC s'alourdira mais restera inégale. Les acteurs malveillants continueront à migrer hors des plateformes centralisées et à empiler les chaînes d'outils (Tails, machines virtuelles [VM] et volumes cachés), mais les lacunes d'utilisation et les mauvaises configurations continueront à créer des failles que les défenseurs pourront exploiter - en particulier lors de l'intégration des affiliés, des pivots de paiement et des transitions en matière de communication. Dans le même temps, les fuites des constructeurs et les changements rapides de marque continueront à engendrer de nombreuses variantes peu crédibles et de nouveaux blogs, ce qui augmentera le volume global tout en réduisant la qualité du signal ; un petit noyau d'acteurs malveillants protégés conservera un impact disproportionné dans le bruit.

La géographie et la sélection des cibles resteront liées à des considérations politiques. Les exclusions explicites pour la CEI et les BRICS et les fluctuations opportunistes liées aux crises régionales perdureront, reflétant la gestion des risques à l'intérieur de la convention. acteur malveillant recherchera des opportunités à haut rendement tout en évitant les retours de bâton dans des juridictions qui mettent en péril la couverture nationale. La pression politique occidentale deviendra plus continue à mesure que les divulgations et les interdictions de paiement s'étendront, que les autorités offensives se normaliseront et que les démantèlements multinationaux s'accéléreront. La dissuasion pour les opérateurs d'élite restera limitée tant que les échanges, les résultats nationaux indulgents et la protection politique dilueront le risque personnel perçu.

Pour les défenseurs et les décideurs politiques, l'implication est claire : l'impact durable provient de la pression exercée sur les incitations à la protection autant que sur les criminels eux-mêmes. prioriser les points d'étranglement en matière d'encaissement et d'infrastructure ; effectuer des mesures en continu pour détecter les oscillations entre les opérations publiques et privées ; se concentrer sur les failles dans les cycles d'intégration et de négociation des affiliés ; et aligner les sanctions et les mesures d'application de la loi sur les leviers diplomatiques qui augmentent le coût national de l'initiative protection. Dans un marché géré, la convention s'adapte aux chocs ; ce n'est qu'en remodelant le calcul qui soutient la protection que les perturbations peuvent prendre de l'ampleur et perdurer.

Date possible de l'opération
Activité opérationnelle ou événement lié à l'application de la loi
Directement associés à l'opération Endgame
15 juillet 2024
Les autorités russes arrêtent l' acteur de Trickbot "Azot" (alias "Angelo")
Yes
16 septembre 2024
Les autorités russes détiennent "Bio" du groupe Conti pour une durée indéterminée
No
2 octobre 2024
Les autorités russes effectuent des perquisitions et arrêtent 100 personnes associées à Cryptex et à l'UAPS
Yes
novembre 2024
Arrestation de "Wazawaka"
No
Janvier 2025
Le gouvernement russe saisit 10 millions de dollars en bitcoins (BTC) auprès d'un ancien membre du Comité d'enquête (SKR) dans le cadre d'une affaire de corruption liée aux dirigeants du Forum Infraud.
No
Mars 2025
Arrestation de membres associés au cheval de Troie bancaire Mamont
No
4 avril 2025
Le PDG du groupe Aeza est arrêté
No
Juin 2025
Quatre REvil acteur malveillant sont reconnus coupables et condamnés à une peine de prison pour trafic de données de cartes de paiement ; les autorités russes saisissent également de l'argent et des biens.
No

(source : Recorded Future)

Annexe B : Liste des nouveaux sites Ransomware TTPs adoptés après l'opération Endgame

Changements TTPs
Groupe Ransomware
Modèle d'extorsion de données

Hunters International :
Hunters International a été l'un des premiers groupes RaaS à annoncer publiquement son passage à un modèle d'extorsion de données. Le 14 août 2024, sur son site d'extorsion, Hunters International a déclaré que le nombre de paiements de rançons avait considérablement diminué et que la principale raison n'était pas un programme d'affiliation spécifique ou la qualité du ransomware. La première raison en est la publicité. Selon l'acteur malveillant, la seule variante possible est de recevoir une rançon pour cibler des infrastructures critiques ; cependant, si les autorités n'autorisent pas le paiement de la rançon, il n'y a aucune chance de gagner de l'argent. Hunters International Group a décidé d'exfiltrer des données et de ne pas déployer de ransomware. Après cette annonce, Hunters International a cessé d'afficher les notes de rançon et de renommer les fichiers cryptés.

Anubis RaaS :
Le groupe Anubis Ransomware a utilisé un autre site TTPs pour attirer les affiliés. Fin février 2025, le groupe de menace a lancé un modèle d'affiliation qui comporte deux modes. Le 23 février 2025, l'acteur malveillant "superSonic" a fait de la publicité pour le programme d'affiliation Anubis RaaS sur le forum Ramp et a présenté deux modèles : le ransomware et l'exfiltration de données. Le modèle commercial de l'exfiltration de données permet aux utilisateurs d'envoyer les données exfiltrées des entreprises à Anubis, qui se chargera ensuite du processus d'extorsion par l'intermédiaire de son blog d'extorsion.

Outre Hunters International et Anubis, le groupe BianLian Ransomware a également été observé en train de passer du ransomware aux opérations d'extorsion de données.

Option avocat d'appel

Ransomware Les groupes ont continué à renforcer leur triple extorsion TTPs en plus des attaques DDoS et des services d'appels téléphoniques contre des victimes déjà compromises. Par exemple, le 4 mai 2025, l'acteur malveillant Haise, membre de Ramp Forum et membre de Qilin Ransomware Group, a annoncé que le programme d'affiliation Qilin RaaS proposait à ses membres un service automatisé de "call lawyer". Selon l'acteur malveillant, le service comprend les options et prestations suivantes :

  • Une "évaluation" juridique des données de compromission
  • Une classification juridique des violations en fonction des juridictions spécifiques
  • Une évaluation juridique des poursuites potentielles, de leurs coûts et des atteintes à la réputation.
  • Capacité à mener des négociations pour les victimes directement avec un avocat
  • Une consultation juridique concernant les dommages maximaux à infliger aux victimes si elles refusent de coopérer.

En outre, le 5 mai 2025, le groupe de ransomware a mis en place des fonctionnalités supplémentaires, telles qu'un stockage de partage de fichiers d'une capacité maximale de 1 To, un outil de spamming, son propre pool de "journalistes" qui, en coopération avec des avocats, peuvent aider à créer des textes à publier sur le blog d'extorsion ainsi qu'à négocier des ransomwares.

Programme d'affiliation pour l'investissement

Le 21 juin 2025, l'acteur malveillant "Nova", sur le forum Ramp, recrutait des membres affiliés pour le nouveau "Nova Access Investment Affiliate Program". Selon l'acteur malveillant, ce programme d'affiliation d'investissement sera utilisé pour l'investissement dans le réseau de compromission ciblé par les membres affiliés. "La valeur marchande sera déterminée par le montant de la rançon de la victime, en fonction de la région, du type de cible, et ceux qui fournissent des victimes plus importantes auront un investissement plus fructueux", a déclaré l'acteur malveillant. L'équipe de Nova RaaS allait intégrer les investisseurs via Session Messenger, où ils pourraient recevoir un badge de confiance. La description du programme indique également que "ce badge vous permettra d'accéder au serveur de chat privé de Nova pour une meilleure confidentialité et un pourcentage plus élevé de la valeur de la rançon, de vous assurer que nous vous donnerons un accès complet à la négociation du chat, et vous serez en mesure de voir les chats avec les victimes".

Le 29 juillet 2025, les opérateurs du ransomware ont mis fin au programme d'affiliation de Nova Investment. Ils ont déclaré qu'à la place, ils introduiraient un autre programme qui serait utile pour les autres membres qui ne peuvent pas faire de dépôts. Le nouveau programme devrait permettre aux nouveaux membres d'utiliser gratuitement les ressources et les services du Nova Ransomware Group s'ils fournissent un accès à haut revenu basé aux États-Unis ou dans l'UE.

Modèle de hacker à embaucher
En juillet 2025, Insikt Group a observé les activités de D4rk 4rmy Blog, un blog d'extorsion dark web "name-and-shame" probablement exploité par le groupe D4rk 4rmy (également connu sous le nom de "D4rk4rmy") Ransomware. Le site d'extorsion contient la phrase chinoise "共产主义勒索软件党", qui se traduit en anglais par "Communist Ransomware Party" (Parti communiste des rançongiciels). Le groupe de menace propose un service de piratage informatique. Il a déclaré qu'il s'agissait d'un groupe établi et qu'il recherchait des partenaires expérimentés pour coopérer. Il n'accepte que les acteurs malveillants parlant le chinois, le russe et l'anglais "qui doivent parler couramment ces langues" (probablement dans l'une de ces trois langues).
Dragon Force : Cartel et Premium RaaS
Le 24 avril 2025, "dragonforce", membre du forum Ramp et représentant du groupe Dragon Force Ransomware, a déclaré qu'ils allaient lancer RansomBay, un projet qui visera les pays de "niveau 1" avec des revenus allant jusqu'à 150 millions de dollars. En outre, le 15 septembre 2025, Dragon Force Ransomware Group a annoncé une coalition avec Qilin et LockBit (LockBit 5.0 RaaS publié le 3 septembre 2025, avec une fonctionnalité mise à jour). À l'heure où nous écrivons ces lignes, Insikt Group n'est pas en mesure d'évaluer si les groupes de menace ont complètement combiné leurs équipes, leurs efforts et leurs ressources ou si la déclaration a été faite pour intimider ou induire en erreur d'autres rivaux de Dragon Force.

(sources : Recorded Future Data)

Annexe C : Liste des entités ciblées dans le cadre de l'opération Endgame

Numéro de la saison
acteur malveillant/Variant
Actions pertinentes
Saison 1
IcedID
Crises d'épilepsie et arrêt de travail
Saison 1
SystemBC ("Psevdo")
Crises d'épilepsie
Saison 1
Pikabot
Arrests
Saison 1 et Saison 2
Smokeloader ("Greenhorse")

Crise d'épilepsie

Identification des clients

Saison 1
Chargeur BumbeleBee
Crises d'épilepsie
Saison 1 et Saison 2
Trickbot
Publication de la vidéo
Saison 1
Latrodectus
Crise d'épilepsie
Saison 2
Qakbot

Publication de la vidéo

Acte d'accusation

Crise d'épilepsie

Saison 2
DanaBot

Acte d'accusation

Crise d'épilepsie

Saison 1 et Saison 2
Emotet ("Odd")
Publication de la vidéo
Saison 1
Cryptex

Crise d'épilepsie

Publication de la vidéo

Arrestations et saisies en Russie

Saison 1
L'or
Publication de la vidéo
Saison 2
AVCheck
Crise d'épilepsie
Saison 1 et Saison 2
Groupe Conti Ransomware
Liste des personnes les plus recherchées par l'UE

(sources : operation-endgame[.]com)