Les forces de l'ordre viennent de porter un nouveau coup dur aux réseaux cybercriminels. L'opération ENDGAME, qui en est maintenant à sa troisième phase, a permis de démanteler plus d'un millier de serveurs utilisés pour héberger et distribuer malware. Ces opérations mondiales ont permis de mettre au jour l'infrastructure qui alimente les opérations de ransomware, mais elles ont également révélé quelque chose de plus profond : la rapidité avec laquelle les pirates s'adaptent.
Pour les équipes SOC, il ne s'agit pas seulement d'une réussite des forces de l'ordre, mais aussi d'un rappel que les perturbations sont temporaires. Pour garder une longueur d'avance, il faut anticiper les prochaines actions des adversaires alors qu'ils reconstruisent leurs outils et leurs infrastructures.
1. La plus grande opération jamais menée contre les botnets (mai 2024)
En mai 2024, Europol et une coalition d'organismes chargés de l'application de la loi ont coordonné ce qu'ils ont décrit comme la plus grande opération jamais menée contre les botnets. Cette première phase de l'opération ENDGAME visait les infrastructures qui soutiennent la cybercriminalité moderne à grande échelle.
L'accent a été mis sur malware de type « dropper », des programmes conçus pour délivrer silencieusement des charges utiles secondaires telles que des ransomwares ou des voleurs d'identifiants une fois qu'un système est compromis. Les autorités ont démantelé les réseaux associés à IcedID, SystemBC, Pikabot, Bumblebee, Trickbot et Smokeloader, tous des composants majeurs de l'écosystème d'accès initial utilisé par les attaquants pour pénétrer dans les réseaux d'entreprise.
Plus de 100 serveurs et environ 2 000 domaines ont été saisis à l'échelle mondiale, coupant toute communication entre les systèmes infectés et leurs opérateurs. Europol a qualifié cette opération de « coup dur » porté à l'économie souterraine qui alimente les campagnes de ransomware.
Cette première opération a ouvert la voie à une offensive plus large, passant des malware individuelles aux chaînes d'approvisionnement criminelles qui les sous-tendent.
2. Briser la chaîne de ransomware à sa source (mai 2025)
Un an plus tard, Europol a annoncé la deuxième vague de l'opération ENDGAME, la décrivant comme une frappe contre la chaîne de destruction des ransomwares à sa source. Plus de 300 serveurs ont été mis hors ligne et 650 domaines neutralisés, paralysant ainsi l'infrastructure utilisée par les groupes criminels pour distribuer des chargeurs et maintenir leur persistance dans les environnements des victimes.
Cette phase a marqué un tournant stratégique. Au lieu de démanteler malware spécifiques, les forces de l'ordre se sont attaquées aux les courtiers en accès initiaux (IAB), les spécialistes qui vendent l'accès à des réseaux compromis. En supprimant leur infrastructure, l'opération a étouffé la première étape du déploiement des ransomwares.
Les autorités ont également saisi 3,5 millions d'euros en cryptomonnaie, portant le montant total des saisies effectuées dans le cadre de l'opération ENDGAME à plus de 21 millions d'euros. L'enquête a révélé l'existence d'un marché mondial de l'accès à la location, montrant à quel point l'économie des ransomwares est devenue organisée et évolutive.
Mais à mesure que les enquêteurs approfondissaient leurs recherches sur la chaîne d'approvisionnement des ransomwares, ils ont également découvert à quel point cette infrastructure était devenue résiliente et distribuée, et à quelle vitesse elle pouvait réapparaître.
3. Fin du jeu pour les infrastructures cybercriminelles (novembre 2025)
La dernière mise à jour, publiée en novembre 2025, marque la phase la plus importante et la plus étendue de l'opération ENDGAME à ce jour. Les autorités ont démantelé 1 025 serveurs dans plus de 20 pays, paralysant ainsi l'infrastructure utilisée pour héberger, contrôler et distribuer plusieurs types de malware.
Les renseignements recueillis lors des phases précédentes ont permis aux enquêteurs de cartographier l'ensemble des écosystèmes de commandement et de contrôle, mettant ainsi au jour les liens entre phishing, le vol d'identifiants et les opérations de ransomware qui avaient compromis des dizaines de milliers de systèmes dans le monde entier.
Des dizaines d'arrestations ont été effectuées, et l'analyse médico-légale des actifs numériques saisis a permis de découvrir des portefeuilles de cryptomonnaies, des identifiants volés et des bases de code appartenant à malware importants malware . Europol a qualifié cela de « fin de partie » pour plusieurs malware prolifiques qui s'appuyaient sur des services d'hébergement cloud résilients pour échapper à la détection.
Si cette opération a considérablement perturbé les capacités criminelles, les experts avertissent que les infrastructures cybercriminelles se régénèrent rapidement. Une fois les serveurs et domaines connus démantelés, de nouveaux apparaissent, souvent dissimulés dans cloud légitimes ou des canaux cryptés . Pour les défenseurs, cela signifie que les forces de l'ordre ne peuvent pas tout faire. La détection continue doit prendre le relais là où la perturbation s'arrête.
Pourquoi cela est important pour les équipes SOC
1. Les perturbations n'éliminent pas les menaces
L'opération ENDGAME prouve que même les attaques massives contre les infrastructures n'éliminent pas les risques. Les pirates reconstruisent rapidement, souvent en quelques jours. Pour les équipes SOC, cela signifie que les indicateurs de compromission d'hier perdent rapidement leur valeur. Les défenses statiques et les les outils basés sur les signatures ne peuvent pas suivre. La seule approche durable est la détection comportementale qui identifie les techniques réutilisées par les adversaires, quelle que soit l'infrastructure à partir de laquelle ils opèrent.
2. La couche d'accès initiale reste le maillon faible
Chaque phase de l'opération ENDGAME a ciblé un maillon différent de la chaîne d'approvisionnement criminelle, mais l'accent a été mis sur les les courtiers en accès initiaux et malware de type « dropper » met en évidence la même réalité : c'est souvent aux premières étapes de la compromission que les défenses sont les plus faibles.
Ces outils se fondent dans le trafic réseau légitime et exploitent les failles entre cloud endpoint, des identités et cloud . Pour les détecter, il faut disposer d'une visibilité interdomaines, repérer les modèles d'authentification inattendus, les mouvements latéraux ou les transferts de données anormaux qui signalent une violation avant le déploiement du ransomware.
3. Cloud hybrides et Cloud
Les serveurs saisis dans le cadre de l'opération ENDGAME ne se limitaient pas aux fournisseurs d'hébergement criminels. Beaucoup se trouvaient dans cloud légitimes, ce qui montre comment les attaquants exploitent les mêmes plateformes que celles sur lesquelles s'appuient les entreprises. Cela reflète ce à quoi les équipes SOC sont confrontées quotidiennement : une visibilité fragmentée dans les environnements hybrides et SaaS où les défenses périmétriques traditionnelles ne s'appliquent pas.
Les défenseurs doivent étendre leur surveillance aux domaines où opèrent les menaces modernes, à savoir le trafic réseau, les systèmes d'identité et cloud . C'est le seul moyen de détecter les attaquants qui se cachent parmi les activités normales.
La visibilité continue est la seule véritable disruption
L'opération ENDGAME montre que les perturbations coordonnées fonctionnent, mais le véritable test commence après le démantèlement. Les groupes criminels se reconstruisent, s'adaptent et migrent vers de nouvelles infrastructures plus rapidement que les défenses statiques ne peuvent suivre.
Pour les équipes SOC, une visibilité continue et une détection contextuelle sont les seuls moyens de garder une longueur d'avance. L'objectif n'est pas seulement de détecter des alertes individuelles, mais aussi de relier les anomalies d'identité, l'escalade des privilèges, les mouvements latéraux et l'exfiltration de données en un seul récit exploitable qui révèle les intentions de l'attaquant.
C'est exactement là qu'intervient la Vectra AI apporte une valeur ajoutée. Grâce à une visibilité sans agent sur le réseau, les identités et cloud, ainsi qu'à des analyses comportementales basées sur l'IA, Vectra détecte les comportements des attaquants dès leur apparition, même lorsque l'infrastructure est toute nouvelle. Elle transforme les signaux fragmentés en un contexte clair afin que les analystes puissent réagir de manière décisive, avant que les attaquants ne puissent se reconstituer.
Découvrez comment la Vectra AI détecte ce que les autres ne voient pas. Lancez une démonstration autoguidée et découvrez la détection basée sur le comportement en action.