Ne cliquez jamais sur cette fausse mise à jour ! L’opération Endgame vient de frapper le cartel cyber Russe Evil Corp : 106 serveurs saisis et 15 000 sites WordPress nettoyés. Le pire ? Ce malware a ciblé plus d’un réseau d’entreprise sur deux en 2026. Bref, un cauchemar invisible !
L’analyse publiée par Infloblox fait froid dans le dos. Si vous avez allumé votre ordinateur de bureau entre lundi et vendredi, vous ferez peut-être partie des millions d’utilisateurs qui ont frôlé une cyberattaque de masse sans même le savoir.
Dans les coulisses du web, une coalition policière internationale d’une ampleur inédite vient de frapper un coup monumental ce jeudi contre l’infrastructure criminelle du groupe de hackers russes Evil Corp. Baptisée Operation Endgame, cette offensive a permis de neutraliser 106 serveurs et de nettoyer en urgence 14 971 sites WordPress légitimes totalement infectés.
Derrière ce coup de filet de la police internationale se cache la traque de SocGholish (ou FakeUpdates), l’un des malwares les plus redoutables et les plus répandus de la décennie.
Votre entreprise est déjà dans le viseur
L’analyse technique publiée par la société de cybersécurité Infoblox, partenaire de l’opération policière, révèle une statistique qui donne le vertige : plus de 54 % des réseaux d’entreprise surveillés ont été ciblés par SocGholish au cours des cinq premiers mois de 2026.
Ce malware utilise une stratégie redoutable basée sur le rythme de vie des employés :
-
Un piratage aux horaires de bureau : les requêtes malveillantes explosent le lundi matin, s’intensifient toute la semaine et tombent brutalement à zéro le week-end. Les attaquants ciblent précisément les moments où la vigilance des salariés est au plus bas.
-
Aucun secteur n’est épargné : les banques, les hôpitaux, les universités et les administrations publiques figurent parmi les cibles prioritaires.
-
Infiltration réussie : si la majorité des attaques a été bloquée par les routeurs, Infoblox a confirmé que plusieurs réseaux majeurs ont été profondément infectés, dont trois administrations gouvernementales et une infrastructure critique.
L’arnaque de la « fausse mise à jour » : comment 15 000 sites WordPress ont basculé
La force de SocGholish repose sur un piège psychologique quasi imparable. Les pirates n’attirent pas leurs victimes sur des sites louches : ils piratent des sites internet parfaitement honnêtes et reconnus, majoritairement propulsés par WordPress. Pour y parvenir, ils exploitent un colossal gisement de 1,4 million d’identifiants de connexion volés mis en vente sur le marché noir.
Une fois installée sur un site, l’infection se déroule en quatre étapes chirurgicales :
| Étape de l’attaque | Mécanisme technique | Objectif |
| 1. Capture du trafic |
Le salarié consulte un site de confiance piraté. |
Attirer la victime sans éveiller de soupçons. |
| 2. Filtrage invisible |
Un script analyse la machine (exclut les robots et les experts cyber). |
Éviter d’être repéré par les outils de sécurité. |
| 3. Le leurre parfait |
Le vrai contenu du site s’efface au profit d’une fausse page de mise à jour Chrome ou Firefox. |
Pousser l’utilisateur à cliquer sur « Télécharger ». |
| 4. L’accès total |
Un fichier JScript de seulement 6 lignes s’exécute sur le PC. |
Ouvrir une porte dérobée secrète pour le cartel. |
Pour contourner les listes noires de sécurité, le groupe criminel utilise le Domain Shadowing. En volant les accès de gestionnaires de domaines légitimes, ils créent des milliers de sous-domaines éphémères (modifiés plusieurs fois par semaine) qui héritent de la réputation impeccable du site parent.
Cartographie du blocage de l’infrastructure SocGholish
Les courtiers du crime : la porte ouverte aux pires rançongiciels
Le groupe à l’origine de cette infrastructure, référencé sous le nom de TA569, ne cherche pas à voler directement vos données bancaires. Il agit comme un Initial Access Broker (un courtier en accès initiaux). Son unique but est de prendre le contrôle d’un ordinateur au sein d’un réseau d’entreprise, puis de revendre discrètement cette clé d’accès au plus offrant sur le darknet.
C’est cette clé d’accès qui est ensuite achetée par les plus grands syndicats du cyberghetto mondial pour déployer leurs rançongiciels et paralyser des structures entières. Les accès fournis par SocGholish ont été directement liés aux attaques des rançongiciels les plus destructeurs de l’histoire, notamment LockBit, RansomHub ou DoppelPaymer.
Si la police internationale (emmenée par le FBI américain, le BKA allemand et la police néerlandaise) a porté un coup fatal à l’infrastructure cette semaine, les experts restent sur le qui-vive. Les propriétaires de sites piratés sont actuellement prévenus par des plateformes de sécurité comme HaveIBeenPwned ou Spamhaus. Mais la prudence reste de mise : il suffit qu’un seul employé clique sur une fausse mise à jour pour compromettre l’intégralité du réseau de son entreprise.
🦋 L’actualité de l’open source en français dans votre flux. Suivez Goodtech sur Bluesky (ou vos applications AT Protocol comme W Social et Mu) grâce à notre compte officiel. Suivez, partagez, abonnez-vous à @goodtech.info !
… reposted this!