Le malware résiste malgré un vaste démantèlement mondial.
Source : Microsoft
Le 26 mai 2025, Microsoft annonçait avec ses partenaires le démantèlement d’une partie de l’infrastructure liée au malware Lumma Stealer, un infostealer actif à l’échelle mondiale. Pourtant, une semaine plus tard, l’outil malveillant reste opérationnel. Analyse d’une opération de cybersécurité partielle et des implications pour l’écosystème de la cybercriminalité.
Une menace persistante
Lumma Stealer est un malware commercialisé en tant que service (Malware-as-a-Service), utilisé principalement pour voler des identifiants, des informations bancaires et des données de portefeuilles crypto. Il s’appuie sur des campagnes de phishing, des publicités malveillantes (malvertising) et des sites frauduleux. Microsoft estimait que près de 400 000 machines Windows avaient été infectées entre mars et mai 2025.
Le 26 mai, la Digital Crimes Unit (DCU) de Microsoft, appuyée par Europol, le département de la Justice américain, le Japan Cybercrime Control Center, ainsi que plusieurs acteurs privés (ESET, Bitsight, Cloudflare, etc.) a saisi plus de 2 300 domaines utilisés par le réseau. Une partie des serveurs a été redirigée vers des sinkholes, servant à couper les connexions malveillantes tout en collectant des données techniques.
Mais l’opération n’a pas suffi
Selon Check Point Research, le malware est toujours actif. Des identifiants compromis après l’opération continuent de circuler sur des canaux de revente automatisés, notamment en Russie. Certains serveurs de commande et de contrôle (C2) n’ont pas été désactivés, permettant aux opérateurs de reprendre leurs activités.
Le développeur de Lumma, connu sous le pseudonyme Shamel, affirme que l’infrastructure a été restaurée. Des logs récents, des variantes actives et des boutiques sur Telegram confirment que l’activité a repris son cours.
Limites des actions anti-cybercrime
Cette opération illustre bien les difficultés des efforts mondiaux pour neutraliser totalement un réseau criminel distribué et résilient. Le modèle économique du Malware-as-a-Service, l’ancrage géographique des serveurs, et l’agilité des développeurs permettent aux malwares comme Lumma de revenir en ligne rapidement, même après une frappe coordonnée.
Une leçon pour les entreprises
Même en cas de succès partiel, ces campagnes de démantèlement permettent de perturber temporairement les chaînes logistiques cybercriminelles, de collecter des données sur les attaques en cours et d’éduquer le public sur les menaces.
Mais du côté des entreprises et des utilisateurs, la vigilance reste essentielle :
- Mise à jour régulière des systèmes,
- Activation de l’authentification multifacteur,
- Sensibilisation au phishing,
- Outils de détection comportementale…
sont des boucliers indispensables contre ce type de menace persistante.