À lire également: l'auteur du malware VenomRAT extradé en France ; la police néerlandaise poursuit les fournisseurs d'hébergement "bulletproof" liés à des hackers russes ; et plus encore.

Vues: 22.9k Temps de lecture:4 min.

L'administrateur présumé du botnet KimWolf arrêté et inculpé aux États-Unis

L'opérateur présumé du botnet KimWolf arrêté au Canada, inculpé aux États-Unis

Les autorités américaines ont inculpé un Canadien de 23 ans accusé d’avoir développé et exploité le botnet KimWolf, qui a infecté plus d’un million d’appareils connectés à Internet, notamment des webcams et des cadres photo numériques. Jacob Butler, également connu en ligne sous le pseudonyme «Dort», a été arrêté à Ottawa, au Canada.

Selon des documents judiciaires, KimWolf était une opération de «cybercriminalité en tant que service», permettant à des clients de louer l’accès à des appareils infectés et de lancer des attaques par déni de service distribué (DDoS) contre des cibles à travers le monde. Les autorités affirment que le botnet a généré plus de 25 000 commandes d’attaque et était lié à des cyberattaques atteignant près de 30 térabits par seconde. Certaines victimes auraient subi des pertes financières dépassant 1 million de dollars.

Les poursuites contre Butler ont été initiées le 10 avril 2026, mais sont restées sous scellés jusqu'à son arrestation. La police l'aurait associé au botnet à l'aide d'enregistrements d'adresses IP, de comptes en ligne, de transactions financières et de données d'applications de messagerie obtenues par voie légale. Butler fait face à une seule inculpation pour complicité d'intrusion dans un système informatique. S'il est reconnu coupable, il risque jusqu'à 10 ans de prison.

Cette arrestation fait suite à une opération internationale de mars 2026 menée par les forces de l'ordre, qui a permis de démanteler les infrastructures de plusieurs grands botnets, dont KimWolf, Aisuru, JackSkid et Mossad IoT. Les autorités ont également saisi des services en ligne liés à 45 plateformes de DDoS-for-hire censées soutenir des activités cybercriminelles.

La police néerlandaise arrête deux suspects et saisit 800 serveurs dans le cadre d'une enquête liée à des pirates informatiques russes

Les autorités néerlandaises ont arrêté deux suspects et saisi plus de 800 serveurs dans le cadre d'une enquête sur une société d'hébergement web accusée de soutenir des cyberattaques, des campagnes de désinformation et des opérations d'ingérence visant l'Union européenne.

Les arrestations ont été réalisées par l'agence néerlandaise de lutte contre la criminalité financière, qui a indiqué que les suspects étaient liés à des entités russes et biélorusses actuellement sous sanctions de l'Union européenne. Les autorités ont perquisitionné trois locaux commerciaux dans les villes d'Enschede et d'Almere, ainsi que deux centres de données situés à Dronten et à Schiphol-Rijk. Lors des perquisitions, les policiers ont saisi des documents administratifs, des ordinateurs portables, des téléphones mobiles et des centaines de serveurs.

Selon les autorités, la société d'hébergement a été fondée le 10 février 2022, deux semaines seulement avant que la Russie ne lance son invasion à grande échelle de l'Ukraine. Les autorités avancent que, dans les années qui ont suivi, la société est devenue un fournisseur clé d'infrastructures pour des activités de déstabilisation visant l'UE.

Les autorités néerlandaises ont indiqué que l'entreprise avait facilité des cyberattaques, des opérations d'ingérence et la propagation de désinformation visant à affaiblir les institutions démocratiques et à perturber les systèmes publics et économiques à travers l'Europe. Les responsables ont également déclaré que l'hébergeur soutenait les efforts russes de manipulation de l'information et d'attaques contre les infrastructures numériques.

Les autorités n'ont pas divulgué les noms des suspects ni ceux des entreprises faisant l'objet d'une enquête. Selon un article du journal néerlandais De Volkskrant, ces entreprises fournissaient des services au groupe de hacktivistes pro-russes NoName057(16), connu pour avoir lancé des attaques par déni de service distribué (DDoS) contre des organisations critiques en Europe. En juillet 2025, une opération internationale des forces de l'ordre a perturbé le réseau NoName057(16), les autorités procédant à deux arrestations et émettant sept mandats d'arrêt.

Dans une autre affaire, un manutentionnaire de 24 ans originaire d'Amsterdam a été arrêté à l'aéroport de Schiphol, soupçonné d'avoir piraté les systèmes de son entreprise et divulgué des informations logistiques confidentielles. Les autorités affirment que le suspect a partagé des données sensibles sur le fret avec des réseaux de trafic de drogue, les aidant ainsi à faire transiter des stupéfiants par l'aéroport sans être détectés.

Par ailleurs, la police néerlandaise a appréhendé un homme de 35 ans soupçonné d'avoir piraté les systèmes informatiques de l'AFC Ajax plus tôt cette année. Selon les autorités, il a accédé sans autorisation aux systèmes du club à plusieurs reprises, exposant les données personnelles de centaines de personnes. Cette intrusion a également permis de modifier les interdictions de stade pour moins de 20 supporters et de transférer des billets entre comptes.

Un gang «crime-as-a-service» démantelé lors d'une vaste opération policière en Europe

Un réseau international de cybercriminalité responsable de fraudes bancaires à grande échelle à travers l'Europe a été démantelé à la suite d'une opération coordonnée impliquant la police nationale espagnole, Europol, la police allemande et les autorités françaises.

Le groupe a créé et distribué des outils de phishing et de smishing permettant aux criminels de voler des informations bancaires sensibles aux victimes. Opérant selon un modèle de «crime-as-a-service», les suspects proposaient des plateformes et services de cyberfraude prêts à l'usage à d'autres délinquants contre rémunération.

Le réseau criminel opérait en Espagne, en France, en Allemagne, en Autriche et aux Pays-Bas, avec des liens au Maroc et aux États-Unis. Les autorités estiment que le gang a volé des données bancaires confidentielles à des milliers de victimes, stockant ces informations sur des plateformes en ligne cachées avant de les revendre à d'autres cybercriminels. Selon la police, le groupe a directement ciblé plus de 2 000 clients de banques allemandes par le biais de campagnes de phishing et a utilisé les identifiants volés pour effectuer des virements bancaires frauduleux.

Au cours de perquisitions coordonnées à Barcelone, Sitges, Paris et Nice, les forces de l'ordre ont arrêté trois chefs présumés de l'opération. Les autorités ont également saisi des actifs en cryptomonnaie d'une valeur d'environ 1,5 million d'euros et découvert des preuves de blanchiment d'argent impliquant l'achat de produits de luxe et de biens immobiliers. Les autorités estiment les pertes financières confirmées à plus de 4 millions d'euros, bien que le montant réel puisse être nettement plus élevé, car de nombreuses victimes n'ont peut-être jamais signalé les délits.

Un suspect albanais à l'origine du malware VenomRAT extradé en France

Un ressortissant albanais de 39 ans, connu sous le pseudonyme en ligne «Venom», a été extradé vers la France suite à son arrestation à Athènes, en Grèce, en novembre dernier, dans le cadre d'une enquête internationale sur la cybercriminalité. Le suspect a été remis aux autorités françaises en mai, après que les officiers grecs de la cybercriminalité, accompagnés de représentants du FBI et de la police judiciaire française, ont perquisitionné son appartement dans le quartier de Nikaia à Athènes le 3 novembre 2025.

Les autorités allèguent que l'homme a développé et vendu VenomRAT, un Remote Access Trojan (RAT) capable d'accéder à distance aux ordinateurs infectés et de voler des données sensibles. Les documents judiciaires indiquent qu'il a vendu ce malware au moins 36 fois entre 2021 et 2025. L'enquête a débuté en 2022 lorsque les autorités australiennes, ciblant les développeurs de malware RAT, ont retracé l'activité numérique du suspect via des comptes de réseaux sociaux et deux numéros de téléphone mobile grecs.

En juin 2023, des agents du FBI à Los Angeles auraient acheté un abonnement mensuel à VenomRAT pour analyser ses capacités. La police a ensuite relié des transactions en crypto-monnaie à un courriel de l'ambassade d'Albanie à Athènes concernant une demande de renouvellement de passeport, afin de confirmer l'identité du suspect.

Les autorités françaises ont émis un mandat d'arrêt le 5 novembre 2025, accusant le suspect d'infractions informatiques commises dans le nord de la France.

Obtenir une démonstration

ImmuniWeb peut vous aider à prévenir les violations de données et à respecter les exigences réglementaires.

Un hacker roumain condamné aux États-Unis pour avoir vendu l'accès au réseau d'un État

Un ressortissant roumain a été condamné à une peine de prison aux États-Unis après avoir admis avoir vendu sur le Dark Web un accès non autorisé au réseau informatique du gouvernement de l'État de l'Oregon. Catalin Dragomir, 46 ans, précédemment domicilié à Constanța, en Roumanie, a plaidé coupable le 19 février 2026 pour avoir obtenu des informations depuis un ordinateur protégé et pour usurpation d'identité aggravée.

Selon les documents judiciaires, Dragomir a obtenu un accès non autorisé à un ordinateur connecté à un bureau du gouvernement de l'État de l'Oregon et a ensuite vendu l'accès au système en ligne. Les procureurs ont indiqué qu'il avait fourni aux acheteurs potentiels des échantillons d'informations d'identification personnelle extraits de l'ordinateur compromis.

Les autorités ont indiqué que Dragomir avait également vendu l'accès aux réseaux de nombreuses autres victimes aux États-Unis et dans le monde entier, causant des pertes estimées à plus de 250 000 $. Il aurait utilisé plusieurs pseudonymes sur le Dark Web pour dissimuler son identité. Dragomir a été arrêté en Roumanie en novembre 2024 et extradé vers les États-Unis en janvier 2025.

Par ailleurs, un homme de 36 ans originaire de l'Ohio a été condamné pour fraude informatique après avoir causé plus de 860 000 dollars de préjudice à son ancien employeur. Après avoir été renvoyé de son contrat IT en mai 2021, Maxwell Schultz a accédé illégalement au réseau de l'entreprise en usurpant l'identité d'un autre sous-traitant et en réinitialisant environ 2 500 mots de passe d'employés, bloquant ainsi l'accès à des milliers de collaborateurs à l'échelle nationale. Il a également tenté d'effacer ses traces en supprimant les journaux et les enregistrements système. L'attaque a perturbé les activités et le service client, causant d'importantes pertes financières. Schultz a reconnu avoir mené l'attaque par colère suite à la perte de son emploi.