regulation
Operation Endgame : Europol gèle 41 M€ en crypto, démantèle StealC et Amadey
Europol annonce le 24 juin 2026 le démantèlement des infrastructures StealC, Amadey et SocGholish : 326 serveurs, 142 domaines saisis, 27 M de credentials, plus de 41 M€ en crypto gelés.
Europol a annoncé le 24 juin 2026 la troisième phase de l'opération « Endgame », une frappe coordonnée multilatérale qui a démantelé les infrastructures de trois familles de logiciels malveillants — StealC, Amadey et SocGholish — utilisés en première ligne dans la chaîne d'attaque ransomware. L'opération, déroulée du 15 au 19 juin 2026, a permis la saisie de 326 serveurs, le retrait de 142 domaines, la récupération de 27 millions d'identifiants volés issus de 385 000 systèmes infectés, et le gel de plus de 41 M€ d'actifs crypto (~46,5 M$) d'origine criminelle. Le communiqué officiel d'Europol, Global cyber strike disrupts SocGholish, Amadey, and StealC malware networks, liste les agences participantes et les opérateurs privés impliqués. La couverture francophone chez Journal du Coin reprend l'annonce.
Ce qui s'est passé
L'opération a visé spécifiquement la couche d'entrée de la chaîne ransomware : les infostealers et droppers qui collectent identifiants, cookies de session, données de wallet crypto et tokens d'authentification avant de revendre l'accès aux opérateurs de rançongiciel. Les trois cibles ont chacune un profil distinct :
- StealC — infostealer commodity, distribué via traffic distribution services et campagnes phishing. Cible Chrome, Firefox, Edge, et la plupart des extensions wallet crypto.
- Amadey — botnet modulaire orienté loader, capable de déployer des charges secondaires (ransomware, miner, ou infostealer additionnel).
- SocGholish — fake-update lure exploité via sites WordPress compromis, distribué historiquement par le groupe TA569 et utilisé en amont de déploiements LockBit et Evil Corp.
Selon les données fournies par Microsoft à Europol, Amadey et StealC étaient liés à plus de 140 000 ordinateurs infectés dans le monde sur les deux premières semaines de mai 2026 — ordre de grandeur qui justifie le ciblage prioritaire.
Les chiffres
Phase Endgame de juin 2026 — bilan officiel (Europol, 24 juin 2026)
- Période d'action : 15-19 juin 2026
- Serveurs démantelés : 326
- Domaines saisis : 142
- Credentials récupérées : 27 000 000
- Systèmes infectés : 385 000 (sur lesquels les credentials ont été extraites)
- Crypto-actifs gelés : > 41 000 000 € (~46 500 000 $)
- Cumulé Endgame depuis mai 2024 : non précisé pour juin 2026, mais
> 21,2 M€ étaient déjà saisis après la phase de mai 2025
- Notifications utilisateurs : push via Have I Been Pwned + national CERTs
Source : Europol, communiqué du 24 juin 2026
Le chiffre des 41 M€ est livré sans détail de répartition par actif. Europol n'a pas publié la liste des wallets gelés ; les saisies sont opérées via injonctions juridictionnelles aux exchanges centralisés ou via control des clés privées récupérées lors des perquisitions serveurs. La fraction réellement récupérable pour les victimes — par opposition au gel administratif — dépendra des décisions de juridiction prises au cas par cas dans les mois qui viennent.
Coordination — qui a participé
Côté agences publiques : services de police et autorités judiciaires de Canada, Danemark, Allemagne, Pays-Bas, Royaume-Uni et États-Unis, coordonnés par Europol à La Haye et Eurojust pour le volet judiciaire. La participation française n'est pas mentionnée dans le communiqué, ce qui distingue cette phase de la précédente (mai 2025) où Paris avait engagé l'OCLCTIC.
Côté privé : Microsoft, Bitdefender, IBM X-Force, Proofpoint, Infoblox, Shadowserver, Orange Cyberdefense et une douzaine d'autres partenaires. Microsoft a fourni la télémétrie des 140 000+ infections d'Amadey/StealC qui a permis le ciblage des serveurs C2 prioritaires ; Shadowserver gère le sinkholing post-démantèlement.
Mécanique — pourquoi cette opération vise la couche basse
Endgame, depuis mai 2024, cible volontairement les enablers (droppers, loaders, infostealers) plutôt que les opérateurs de rançongiciel terminaux comme LockBit ou BlackCat. Logique :
- Coût asymétrique pour l'adversaire. Reconstruire un dropper à grande échelle est plus long que rebrander un site de leak ransomware.
- Effet d'épuisement. Couper l'accès aux credentials et aux wallets siphonnés assèche la matière première qui alimente la chaîne complète — y compris les ransomwares dont le mode opératoire repose sur la revente d'accès initial (Initial Access Broker).
- Saisie crypto plus facile en amont. Les wallets utilisés pour exfiltrer les fonds des victimes via les infostealers sont moins compartimentés que les wallets de paiement de rançon. C'est ce qui explique l'accroissement régulier du volume crypto saisi à chaque itération.
Précédent — la cadence Endgame
L'opération Endgame est désormais une séquence annuelle, avec trois phases connues :
- Mai 2024 (phase 1) : 100+ serveurs démantelés, ciblage IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee, Trickbot.
- Mai 2025 (phase 2) : 300 serveurs et 650 domaines, 20 mandats d'arrêt internationaux, 3,5 M€ de crypto saisis (cumulé à plus de 21,2 M€).
- Juin 2026 (phase 3) : 326 serveurs, 142 domaines, 27 M de credentials, 41 M€ de crypto gelés.
La trajectoire est claire : volume de crypto saisi en croissance d'un ordre de grandeur par phase, périmètre malware élargi, et désormais inclusion explicite de SocGholish — historiquement vecteur d'entrée de LockBit et d'Evil Corp.
Que surveiller
- Notifications utilisateurs. Les 27 M de credentials récupérées sont en cours de push vers Have I Been Pwned et les CERTs nationaux. Les détenteurs de wallets crypto qui ont saisi une seed phrase ou une clé privée dans un navigateur entre 2024 et juin 2026 devraient s'attendre à une notification — et déplacer leurs fonds avant qu'elle n'arrive.
- Décisions de juridiction sur les 41 M€ gelés. Le passage du gel administratif à la restitution effective aux victimes dépend des tribunaux nationaux. Précédent à surveiller : l'affaire Bitfinex (US) où la restitution a pris deux ans après la saisie initiale.
- Rebond des familles ciblées. StealC et Amadey ont déjà connu plusieurs cycles de neutralisation/reprise. La fenêtre utile de l'opération se compte typiquement en 4-8 semaines avant qu'un fork ne ré-émerge sous un nouveau C2.
- Position française. L'absence de la France dans la liste des participants est notable. Sachant que 70 % des enlèvements crypto mondiaux concernent la France selon Coinacademy, une non-participation à Endgame phase 3 est un signal politique à clarifier — sollicitation diplomatique attendue côté Beauvau dans les jours qui viennent.
Contexte — le modèle « public-privé » qui s'installe
Endgame est l'incarnation la plus aboutie d'un modèle d'application qui combine la télémétrie privée (Microsoft, IBM, Bitdefender) avec le pouvoir de saisie publique (Europol, FBI, BKA). Le chiffre des 41 M€ saisis en quatre jours — versus les ~21 M€ cumulés sur 12 mois de la phase précédente — suggère que ce modèle gagne en efficacité opérationnelle plus vite que les opérateurs malware n'arrivent à fragmenter leurs wallets. Ce n'est pas la fin du cybercrime crypto, mais c'est une démonstration que la couche d'extraction est devenue, pour la première fois, mesurable et attaquable à l'échelle continentale.
Sources :
- Europol — Global cyber strike disrupts SocGholish, Amadey, and StealC malware networks — communiqué officiel du 24 juin 2026 (source primaire).
- Journal du Coin — Crypto : Europol gèle 41 millions d'euros en crypto dans une opération anti-malware — couverture FR.
- Decrypt — $47M in Crypto Frozen in Global Infostealer Takedown: Europol.
- BleepingComputer — Amadey, StealC malware operations disrupted in Operation Endgame action — détails techniques infrastructure.
- Help Net Security — Law enforcement hits StealC and Amadey malware networks — bilan opérationnel.
- SecurityAffairs — Europol Disrupts StealC and Amadey Malware Infrastructure in Operation Endgame.