S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 23 mai 2025
N° CERTFR-2025-CTI-008
Affaire suivie par: CERT-FR

Rapport menaces et incidents du CERT-FR

Objet: Opération ENDGAME 2025

Gestion du document

Référence CERTFR-2025-CTI-008
Titre Opération ENDGAME 2025
Date de la première version23 mai 2025
Date de la dernière version23 mai 2025
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Entre le 19 et le 23 mai 2025, de nouvelles actions de démantèlement ont été menées contre plusieurs infrastructures liées à des codes cybercriminels. Ces actions ont été réalisées dans le cadre de l’opération de coopération judiciaire internationale ENDGAME lancée en mai 2024 et impliquant les autorités allemandes, danoises, françaises, néerlandaises, britanniques, canadiennes et américaines. Davantage d’informations sur l’opération sont disponibles dans les communiqués de l’OFAC, d’Europol et d’Eurojust. Dans le cadre de cette opération, l’ANSSI apporte son soutien pour l’identification et la notification des victimes et partage des recommandations de sécurité.

Les codes malveillants concernés (BumbleBee, Danabot, HijackLoader, Latrodectus, WarmCookie et Lumma) peuvent servir de point d’entrée sur le système d’information (SI) des victimes pour exfiltrer des données et déployer d’autres codes malveillants comme des outils génériques offensifs et des rançongiciels. Pour cette raison, il est particulièrement important de procéder à des investigations complémentaires sur les systèmes d’information dont une machine a été infectée, à la recherche de traces de latéralisation ou d’autres outils malveillants.

BumbleBee

Actif depuis mars 2022, BumbleBee est un chargeur malveillant (loader) utilisé par des acteurs cybercriminels pour obtenir un premier accès dans les SI des victimes et déployer par la suite une ou plusieurs charges malveillantes supplémentaires. L’activité de ce code malveillant a fortement diminué depuis par l’opération ENDGAME de mai 2024, mais des campagnes ponctuelles ont été observées.

Ce maliciel est utilisé comme point d’entrée pour déployer des codes malveillants tiers comme des outils génériques offensifs (Cobalt Strike, Sliver et Meterpreter notamment) et précédemment des rançongiciels (Conti, Quantum, MountLocker, Diavol, Akira).

Depuis trois ans, BumbleBee est généralement distribué par des campagnes d’hameçonnage, des publicités et des sites malveillants (téléchargement de faux logiciels imitant Zoom, Cisco AnyConnect, ChatGPT, Citrix Workspace). La technique de «email thread hijacking», qui consiste à reprendre des fils de discussion existants dans des messageries compromises pour distribuer le code malveillant était auparavant utilisée. BumbleBee a également été déployé par d’autres codes malveillants, tels que Emotet ou Raspberry Robin en 2022.

Références :

Danabot

Découvert en mai 2018, Danabot est un code malveillant modulaire commercialisé sur des forums cybercriminels. Il permet aux attaquants d’obtenir un premier accès aux systèmes d’information des victimes et de déployer des charges malveillantes supplémentaires. Il est doté de capacités d’exfiltration de données et d’enregistrement de frappe au clavier.

Ce loader est utilisé comme de point d’entrée pour déployer des codes malveillants tiers comme le chargeur malveillant Latrodectus et des rançongiciels tels que Cactus. Le vecteur de distribution de Danabot varie selon l’acteur le mettant en œuvre. Danabot est généralement distribué par le biais de campagnes d’hameçonnage ou de sites compromis ou encore téléchargé par un autre code malveillant comme Darkgate. En 2021, Danabot a également été distribué au travers de paquets NPM compromis.

Références :

HijackLoader

Identifié pour la première fois en 2023, HijackLoader est un code malveillant modulaire commercialisé sur les forums cybercriminels et doté de capacités de reconnaissance, d’exfiltration de données et d’exécution de code malveillant.

HijackLoader est utilisé par les cybercriminels pour récupérer des informations sur le SI de la victime et assurer un accès persistant. Il sert principalement de point d’entrée pour déployer des codes malveillants tiers comme Amadey, Lumma ou encore Remcos RAT.
Le vecteur de distribution de HijackLoader varie selon l’attaquant le mettant en œuvre. Il peut être déployé par un autre code malveillant, ou distribué par le biais de campagnes d’hameçonnage. Récemment, HijackLoader a été déployé par le biais des campagnes de faux captcha incitant la victime à entrer une commande PowerShell sur son terminal pour télécharger et exécuter à son insu le programme malveillant.

Références :

Latrodectus

Identifié pour la première fois en 2023, Latrodectus également nommé Lotus est un loader malveillant utilisé par des acteurs cybercriminels pour obtenir un premier accès au SI des victimes et déployer des charges supplémentaires. Latrodectus est également doté de capacités de reconnaissance, de vols d’informations.

Ce loader est utilisé par les cybercriminels pour récupérer des couples identifiant-authentifiant et obtenir un accès persistant aux SI des victimes. Il sert également de point d’entrée pour déployer des codes malveillants tiers comme des outils génériques offensifs tels que Brute Ratel C4 et des rançongiciels comme Interlock ou Qilin. Le vecteur de diffusion de Lotus varie selon l’attaquant. Il peut être déployé par un autre code malveillant comme DanaBot, Brute Ratel ou Lumma ou distribué par le biais de campagnes d’hameçonnage ou de publicités malveillantes. Récemment, Lotus a été massivement déployé au travers de campagnes de faux captcha, poussant la victime à exécuter une commande PowerShell sur son terminal pour télécharger et exécuter à son insu le programme malveillant.

Références :

Warmcookie

Actif depuis au moins 2024, WarmCookie, également connu sous le nom BadSpace, est une porte dérobée pour Windows utilisée par des acteurs malveillants pour obtenir un accès persistant dans les SI des victimes et déployer une ou plusieurs charges malveillantes supplémentaires. Cette porte dérobée est également dotée de capacités de reconnaissance, de capture d’écran et d’exfiltration de données.

Warmcookie est principalement utilisé par des acteurs malveillants cherchant à revendre des accès initiaux ou à déployer des codes malveillants tiers comme CSharp-Streamer-RAT, Cobalt Strike ou des rançongiciels comme Interlock. Il aurait également été utilisé dans le cadre d’attaques à finalité d’espionnage. Le vecteur de distribution de WarmCookie varie en fonction de l’attaquant le mettant en œuvre. Il est généralement distribué à travers des sites Internet compromis, notamment des fausses mises à jour de navigateur, par le biais de courriels d’hameçonnage ou encore de publicités malveillantes.

Références :

Lumma

Identifié pour la première fois en août 2022, Lumma est initialement un infostealer c’est-à-dire un code malveillant doté de capacités de reconnaissance et de vols d’informations (cookies de navigateurs, portefeuilles de cryptomonnaies). Massivement vendu sur des forums cybercriminels, Il est également utilisé par les cybercriminels pour déployer des codes malveillants tiers sur le SI de la victime comme Latrodectus et GhostSocks ainsi que des rançongiciels comme Interlock et BlackBasta.

Le vecteur de distribution de Lumma varie selon l’attaquant le mettant en œuvre. Il peut être déployé par un autre code malveillant comme Amadey, Lotus et DarkGate ou être distribué par le biais de campagnes d’hameçonnage et de publicités malveillantes. En 2024 et 2025, Lumma a été massivement déployé au travers de campagnes de faux captcha et de fichiers PDF corrompus.

Références :

Recommandations

En cas de suspicion de compromission, l’Agence recommande de prendre des mesures visant à limiter les conséquences d’une infection avérée en identifiant la compromission et en remédiant à la situation. Les étapes décrites ci-dessous peuvent constituer le squelette d’un plan d’action visant à reprendre le contrôle sur ses infrastructures et les assainir.

Qualifier l’infection

  • Identifier la machine, poste de travail ou serveur, concerné(e) ;
  • Vérifier qu’elle était bien active dans la période signalée ;
  • En cas de doute, considérer le poste comme infecté ;
  • Inventorier les secrets et comptes utilisés sur la machine concernée ainsi que leurs droits dans le système d’information (permissions Active Directory notamment).

Recherche de compromission

  1. Utiliser les moyens de supervision du système d’information pour rechercher :

    • des connexions réussies anormales sur le système d’information depuis la machine infectée, avec les comptes utilisés sur la machine infectée ;
    • les tentatives d’accès échouées depuis la machine et/ou avec les comptes qui y ont été utilisés ;
    • des connexions anormales vers Internet (domaine/protocole) depuis la machine infectée.

  2. Recherchez dans les alertes antivirales les signes d’implantation de maliciels sur des machines autre que celle initialement identifiée. Ne pas uniquement focaliser la recherche d’alerte antivirale sur le maliciel visé par cette alerte, car non seulement il a pour objectif de télécharger d’autres codes malveillants tiers (outil générique, rançongiciel, etc.) mais en plus il a pu se supprimer dans la phase de post-compromission pour effacer ses traces. Aussi, la supervision d’alertes ne peut être que globale.

  3. Si le ou les comptes compromis étaient privilégiés, il convient de faire effectuer une recherche de compromission en profondeur sur l’ensemble du système d’information. Si ce ou ces comptes disposaient de délégation de droits dans un annuaire Active Directory (AD), il convient de le ou les faire auditer. L’ANSSI propose le service ADS à ses bénéficiaires qui permet de réaliser un audit de premier niveau de l’AD.

  4. Si ces comptes sont aussi utilisés sur des applications exposées sur Internet (VPN, VDI, Microsoft 365, applications web, etc.) investiguer si des connexions et actions illégitimes ont eu lieu.

Remédiation

  • Isolez la machine compromise du système d’information ;
  • Si un dépôt de plainte ou des investigations sont envisagés, conserver la machine isolée du système d’information ;
  • Remplacez le poste compromis par une machine neuve ou réinstallée ;
  • Changer les secrets utilisés sur la machine et ceux associés aux comptes compromis.

Durcissement de la posture de défense

  • Prévenir les exécutions depuis des répertoires inscriptibles par les utilisateurs tels que les répertoires temporaires et personnels (en utilisant des composants intégrés à Windows tels que AppLocker, SRP, WDAC, …) ;
  • Prévenir les élévations de privilège en ne donnant pas le droit d’ « administration locale » du poste de travail à son utilisateur ;
  • Prévenir la latéralisation entre les postes de travail :
    • Filtrer les communications directes entre postes de travail (via PVLAN, pare-feu local Windows, règles de VPN…) ;
    • Configurer LAPS sur les postes de travail pour rendre unique le mot de passe du compte administrateur local.
  • Filtrer les courriels et la navigation web des utilisateurs, notamment sur les pièces jointes téléchargées ;
  • Supervision renforcée :
    • Détecter les exécutions depuis les répertoires inscriptibles par l’utilisateur non privilégié ;
    • Porter une attention renforcée aux alertes EDR ;
    • S’assurer de la couverture de déploiement de l’antivirus et/ou de l’EDR et de la mise à jour de leurs définitions antivirales.

Gestion détaillée du document

    le 23 mai 2025
    Version initiale