Les fédéraux US inculpent 16 Russes qui seraient liés au réseau de botnets Danabot utilisé pour des cyberattaques

Et des activités d'espionnage inter-états dans certains cas

Les fédéraux US inculpent 16 Russes qui seraient liés au réseau de botnets Danabot utilisé pour des cyberattaques
Et des activités d’espionnage inter-états dans certains cas

Le DoJ vient d'annoncer l'inculpation de 16 personnes qui seraient associées à une opération de logiciels malveillants connue sous le nom de DanaBot. Cette dernière a été utilisée en 2021 dans le cadre d'une attaque de la chaîne d'approvisionnement en logiciels qui dissimulait le logiciel malveillant dans un outil de codage JavaScript appelé NPM, téléchargé des millions de fois par semaine. Le rapport y relatif de Crowdstrike avait fait état de victimes de cet outil compromis dans les secteurs des services financiers, des transports, de la technologie et des médias. DanaBot a aussi été utilisé pour des activités d’espionnage inter-états dans certains cas, comme le mentionne la plainte du DoJ.

Dans son communiqué, le DoJ décrit le groupe comme étant « basé en Russie » et désigne deux des suspects, Aleksandr Stepanov et Artem Aleksandrovich Kalinkin, comme vivant à Novosibirsk, en Russie. Cinq autres suspects sont nommés dans l'acte d'accusation, tandis que neuf autres ne sont identifiés que par leur pseudonyme. Outre ces accusations, le ministère de la justice indique que le Defense Criminal Investigative Service (DCIS) - un service d'enquête criminelle du ministère de la défense - a procédé à des saisies de l'infrastructure de DanaBot dans le monde entier, y compris aux États-Unis.

Outre les allégations d'utilisation de DanaBot dans le cadre de piratages criminels à but lucratif, l'acte d'accusation fait en sus une déclaration plus rare : il décrit comment une deuxième variante du logiciel malveillant a été utilisée à des fins d'espionnage contre des cibles militaires, gouvernementales et des organisations non gouvernementales.

Depuis 2018, DanaBot a infecté des millions d'ordinateurs dans le monde entier, initialement sous la forme d'un cheval de Troie bancaire conçu pour voler directement les propriétaires de ces PC avec des fonctionnalités modulaires conçues pour le vol de cartes de crédit et de cryptomonnaies. Comme ses créateurs l'auraient vendu dans le cadre d'un modèle « affilié » qui le mettait à la disposition d'autres groupes de pirates pour 3 000 à 4 000 dollars par mois, il a toutefois été rapidement utilisé comme outil pour installer différentes formes de logiciels malveillants dans le cadre d'un large éventail d'opérations, y compris des ransomwares. Ses cibles, elles aussi, se sont rapidement étendues des premières victimes en Ukraine, en Pologne, en Italie, en Allemagne, en Autriche et en Australie aux institutions financières américaines et canadiennes.

DanaBot a en sus été utilisé à certains moments pour des campagnes de piratage parrainées par l'État ou liées aux intérêts d'agences gouvernementales russes. En 2019 et 2020, il a été utilisé pour cibler une poignée de représentants de gouvernements occidentaux dans le cadre d'opérations d'espionnage apparentes, selon l'acte d'accusation du DoJ. Selon Proofpoint, le logiciel malveillant a été diffusé via des campagnes d'hameçonnage au nom de l'Organisation pour la sécurité et la coopération en Europe et pour une entité gouvernementale du Kazakhstan.

Puis, au cours des premières semaines de l'invasion à grande échelle de l'Ukraine par la Russie, qui a débuté en février 2022, DanaBot a été utilisé pour installer un outil de déni de service distribué (DDoS) sur des machines infectées et lancer des attaques contre le serveur de messagerie web du ministère ukrainien de la défense et du Conseil national de sécurité et de défense de l'Ukraine.

DanaBot illustre ainsi la façon dont les logiciels malveillants auraient été adoptés par des pirates à la solde de l'État russe, selon des experts de la filière cybersécurité. « Il y a eu de nombreuses suggestions dans le passé sur les opérateurs cybercriminels qui se sont associés à des entités gouvernementales russes, mais il n'y a pas eu beaucoup de rapports publics sur ces lignes de plus en plus floues », déclare un responsable de la fime Proofpoint. « Le cas de DanaBot est assez remarquable, car c'est une preuve publique de ce chevauchement où l'on voit des outils de cybercriminalité utilisés à des fins d'espionnage », ajoute-t-il.

Today, @Proofpoint joins the cybersecurity community and the U.S. and international law enforcement in celebrating the disruption of #DanaBot, a malware-as-a-service used by sophisticated cybercriminals since 2018. https://t.co/1C7jWCIWFG

— Threat Insight (@threatinsight) May 22, 2025

L’annonce du DoJ intervient dans un contexte de récente publication par la Chine des noms de pirates présumés de la NSA

Les accusations contre les pirates informatiques parrainés par un État sont en général émises par les États-Unis. La Chine vient de riposter en accusant trois agents de l'Agence nationale de sécurité américaine (NSA) d'avoir piraté des cibles chinoises.

Le 15 avril 2025, la police de la ville chinoise de Harbin a annoncé qu'elle poursuivait trois agents présumés de la NSA et a offert une récompense pour retrouver leur trace. Les autorités accusent les agents de la NSA d'être à l'origine de cyberattaques contre les Jeux asiatiques d'hiver de 2025 en février et d'avoir piraté l'infrastructure informatique de la Chine et l'entreprise chinoise Huawei.

La police de Harbin a nommé les agents présumés de la NSA : Katheryn A. Wilson, Robert J. Snelling et Stephen W. Johnson, mais aucune photo n'a été fournie. On ne sait pas si l'agence emploie l'une de ces personnes. La NSA n'a pas répondu immédiatement à une demande de commentaire. L'agence de presse étatique chinoise Xinhua affirme que les trois agents travaillent pour le secret Office of Tailored Access Operations de la NSA, connu pour ses activités de cyberespionnage.

« Pour dissimuler l'origine de ses attaques et sécuriser ses cyber-armes, le bureau a utilisé plusieurs organisations de façade affiliées pour acheter des adresses IP dans différents pays et a loué anonymement des serveurs situés dans des régions telles que l'Europe et l'Asie », ajoute Xinhua. Les serveurs auraient ensuite été utilisés pour pirater les systèmes informatiques des Jeux asiatiques d'hiver à Harbin, notamment en volant des données pour l'enregistrement des utilisateurs et en essayant de perturber les systèmes.

« Les équipes techniques ont également découvert des preuves impliquant l'Université de Californie et Virginia Tech dans la campagne informatique coordonnée contre les Jeux asiatiques d'hiver », affirme également Xinhua.

Source : DoJ

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Un centre chinois de cybersécurité accuse les États-Unis de piratage et de vol de secrets technologiques, tandis que Washington enquête sur le chinois TP-Link en raison de menace pour la sécurité nationale

La Chine a reconnu son rôle dans les piratages d'infrastructures américaines : des années d'intrusions dans les réseaux des ports, des aéroports et autres, à cause du soutien des USA à Taïwan

L'administration Trump veut passer à la cyberoffensive contre la Chine. "Nous devons lancer l'offensive et commencer à imposer des coûts et des conséquences plus élevés aux acteurs États-nations"