Select your country

Belgium

China

Denmark

France

Germany

Maghreb & West Africa

Netherlands

Norway

South Africa

Spain

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Rechercher

  1. Orange Cyberdefense
  2. Ressources
  3. Actualités
  4. Operation Endgame : coup de filet sur SocGholish
| Actualités

Operation Endgame : coup de filet sur SocGholish

Des analystes d'Orange Cyberdefense en train de travailler.

Partager

L'essentiel de votre hack'tu cybersécurité

  • Un nouveau coup de filet, mené dans le cadre de l'Opération Endgame ce 18 juin 2026, a permis d'assainir plus de 14 971 sites, démanteler des serveurs C2 illicites et réduire significativement l'activité cybercriminelle liée à l'utilisation de l'outil malveillant SocGholish ; 
  • SocGholish, un outil de téléchargement malveillant basé sur JavaScript, sert d'Initial Access Broker (IAB) pour obtenir un accès initial aux réseaux, en compromettant des sites web légitimes via des vulnérabilités ou des identifiants volés, puis en déployant différentes couches de malwares ; 
  • Malgré ce coup de filet, la menace demeure, avec une capacité d’adaptation grandissante des cybercriminels, qui nécessite une surveillance continue, une mise à jour régulière des systèmes et une collaboration renforcée entre secteur public et privé. Dans ce cadre, s'appuyer sur une expertise et une intelligence approfondie de la menace est un atout majeur pour les autorités et les forces de l'ordre. 

L'analyse approfondie d'une attaque par accès initial très répandue

Le 18 juin 2026, une action de lutte contre la cybercriminalité, menée sur le terrain dans le cadre de l' Opération Endgame(1), a fortement mis un frein à l'une des menaces de cybersécurité les plus nuisibles : SocGholish

Cette opération, en coordination avec les autorités des Pays-Bas, du Canada, des États-Unis et de l'Allemagne, a permis de remédier à la compromission de plus de 14 971 sites web et de mettre hors service des serveurs de commande et contrôle (C2) appartenant à des cybercriminels motivés par l'argent.

Il est important de redonner le contexte de ce coup de filet pour en apprécier pleinement l’impact. Cet article propose une analyse approfondie de SocGholish, menace suivie depuis des années par le CERT d’Orange Cyberdefense et met en lumière ses méthodes, sa place dans l’écosystème de la cybercriminalité, ainsi que ce que cette disruption signifie pour les défenseurs.

Plus qu'un malware : qu'est-ce que SocGholish ?

Avant toute chose, il est important de préciser que SocGholish ne constitue pas en général la dernière étape d’une attaque. Il s’agit d’un outil de téléchargement / downloader basé sur JavaScript, et son principal opérateur - un acteur malveillant russophone, motivé par l’appât du gain - agit en tant qu'Initial Access Broker (IAB ou courtier d'accès initial). Ce groupe est connu sous divers pseudonymes : TA569, UNC1543, Mustard Tempest et GOLD PRELUDE.

La cartographie IAB socgholish

L'approche IAB : simple mais efficace

Ces cybercriminels se spécialisent dans l’obtention d’un premier accès aux réseaux d’entreprises et aux réseaux personnels, puis revendent cet accès à d’autres groupes criminels. Ces « clients » déploient ensuite leurs propres charges malveillantes, telles que des ransomwares, des logiciels espions ou des chevaux de Troie bancaires. En substance, SocGholish se situe au début de la chaîne d’attaque cyber et non au stade final. Actif depuis au moins 2017, sa longévité et son utilisation généralisée en ont fait une pierre angulaire de l’économie du « cybercrime en tant que service » (Cybercrime-as-a-service ou CaaS).

Anatomie d'un attaque avec SocGholish

Les équipes du CSIRT d'Orange Cyberdefense ont eu l'occasion de documenter la chaîne d'infection utilisée par TA569, qui se caractérise par une grande cohérence et repose largement sur l'ingénierie sociale. En voici les différentes étapes. 

  1. La compromission du site web
    L'attaque commence par la compromission de sites web légitimes. TA569 exploite des vulnérabilités connues dans des systèmes de gestion de contenu (CMS) populaires comme WordPress, Joomla et Drupal, ou utilise des identifiants volés pour injecter du code JavaScript malveillant dans leurs pages. 43 % des sites Internet étant alimentés par WordPress, la surface d'attaque potentielle est immense. Les sites compromis peuvent aller de restaurants locaux à des organisations de presse nationales.
     
  2. Le piège de la fausse mise à jour
    Lorsqu'un utilisateur visite un site compromis, le script injecté s'exécute. Cependant, l'appât n'est pas montré à tout le monde. Les opérateurs utilisent une combinaison de Systèmes de Distribution du Trafic (TDS) pour le géorepérage et le filtrage par navigateur/IP, afin de rester très sélectifs. Cela signifie que la fenêtre contextuelle malveillante n'est délivrée qu'à des cibles choisies, ce qui réduit la visibilité de ces attaques et complique l'inspection automatisée par des solutions de sécurité, y compris des environnements d'analyse de fichiers peu sophistiqués (sandboxes). Pour un utilisateur ciblé, le script affiche une alerte pop-up très convaincante, mais fausse, incitant à mettre à jour le navigateur utilisé, par exemple Google Chrome ou Mozilla Firefox.
     
  3. L'exécution du contenu malveillant 
    Si l'utilisateur tombe dans le piège et clique sur le bouton de téléchargement, un fichier ZIP contenant un fichier JavaScript malveillant est enregistré sur sa machine. L'utilisateur est ensuite trompé pour exécuter ce fichier, croyant qu'il installe une mise à jour légitime. Cette action déclenche le téléchargeur SocGholish, établissant une présence sur le système de la victime.
     
  4. Déploiement d'autres malwares
    Une fois activé, SocGholish se connecte à son infrastructure de Commande et Contrôle (C2) et déploie dans un second temps plusieurs autres malwares.
    Parmi cette seconde vague, nous avons observé la distribution de programmes malveillants additionnels (loaders) tels que Gholoader et MintsLoader, qui facilitent le déploiement d'autres malwares encore plus dangereux :
    - GhostWeaver : une porte dérobée PowerShell volant des identifiants et des informations sur les portefeuilles de cryptomonnaies à partir de formulaires web.
    - Ransomware : historiquement, SocGholish était un point d'entrée clé pour les affiliés de LockBit et a été observé menant à des déploiements de RansomHub.
    - Remote access trojans (RAT) : AsyncRAT ou NetSupport RAT ont été déployés pour donner aux attaquants un contrôle total sur un système compromis.

SocGholish utilise un modèle de livraison en strates successives et se trouve en capacité de délivrer plusieurs malwares en cascade. 

Une forte communauté cybercriminelle underground, décentralisée et collaborative

L'activité de SocGholish est liée à un écosystème cybercriminel plus large et fragmenté, dans lequel toutes les étapes d'une cyberattaque - de l'accès initial à la monétisation - peuvent être séparées. Cette « chaîne d'approvisionnement cybercriminelle » place les acteurs tels que les courtiers d'accès initiaux (les IAB), les opérateurs de Systèmes de Distribution du Trafic (TDS) et les groupes de ransomware dans des rôles spécifiques et interconnectés.

  • Une alliance bien établie : le lien entre SocGholish et le syndicat de cybercriminalité russe notoire Evil Corp a de nouveau été confirmé dans le communiqué de presse de l'Opération Endgame.
  • Des services spécialisés : pour maximiser sa portée, TA569 collabore avec d'autres acteurs comme TA2726, qui exploite un Système de Distribution du Trafic (TDS). Ce service aide à filtrer et rediriger les victimes vers la chaîne d'infection SocGholish, optimisant ainsi le processus pour les attaquants.
  • L'effet copycat : le modèle d'attaque basé sur de fausses mises à jour a inspiré et été repris par plusieurs autres entités criminelles. Des groupes comme TA2727 utilisent des injections JavaScript similaires et des appâts pour distribuer leurs propres malwares, notamment des voleurs d'informations comme Lumma et DeerStealer. Ces nouveaux acteurs exploitant un modèle commercial similaire compliquent l'attribution et illustrent l'adoption généralisée et l'efficacité de ces techniques.

Les conséquences de l'Opération Endgame et les recommandations d'Orange Cyberdefense

Les actions entreprises lors de l'Opération Endgame ont mis un frein important à ce type d'activités malveillantes. Avec l'assainissement de 14 971 sites web, le démantement des serveurs C2 et la saisie de domaines web, les forces de l'ordre ont directement attaqué l'infrastructure du groupe. Même si ces coups de filets ne mettent pas toujours complètement fin aux actions malveillantes, elles augmentent le coût et le degré d'expertise nécessaires de leurs attaques et permettent aux défenseurs de renforcer leur cybersécurité. Sur la base de nos recherches et des conseils des forces de l'ordre, nous formulons les recommandations suivantes :

  • Pour les administrateurs de sites web :
    Mettre à jour votre CMS : maintenez votre CMS (WordPress, Joomla, etc.), vos plugins et thèmes constamment à jour pour éviter l'exploitation de vulnérabilités.
    Renforcer les logins : renforcez tous les mots de passe administratifs et évitez d'utiliser des identifiants par défaut ou faciles à deviner.
    Activer l'authentification multi-facteurs (MFA) : configurez la MFA pour ajouter une couche de sécurité essentielle empêchant l'accès non autorisé en cas de vol de crédentiels.
    Auditer les comptes : vérifiez régulièrement et supprimez tout compte utilisateur inconnu ou suspect dans l'administration de votre site.
     
  • Pour les utilisateurs finaux :
    Se méfier des pop-ups : ne faites jamais confiance à une mise à jour logicielle provenant d'une fenêtre pop-up dans votre navigateur.
    Utiliser des sources officielles : les mises à jour pour votre navigateur, votre système d'exploitation ou vos applications doivent provenir de canaux officiels, de vos fournisseurs de logiciels ou des app stores. Et non d'un site web aléatoire de votre système.
     
  • Pour les équipes de sécurité :
    S'appuyer sur le renseignement et l'intelligence de la menace : l'infrastructure C2 de SocGholish change fréquemment, avec un renouvellement des serveurs observé tous les deux à cinq jours. S'abonner à des flux de renseignement sur les menaces, comme celui fourni par Orange Cyberdefense, est crucial pour bloquer les connexions vers de nouveaux domaines et IP malveillants.

Vaincre la cybercriminalité en s'appuyant sur la cyber threat intelligence

SocGholish représente une menace résiliente, sophistiquée et hautement efficace, symptomatique de l'écosystème économique actuel de la cybercriminalité. L’Opération Endgame a une fois de plus mis un frein à une infrastructure d’attaque IAB nocive et permis de protéger de nombreuses victimes potentielles.

Cependant, les acteurs derrière ces menaces sont connus pour leur grande capacité d’adaptation. Bien que cette opération ait marqué un chapitre important dans la perturbation des activités de SocGholish, nous nous attendons pleinement à ce que le groupe TA569 et ses clients se réorganisent et tentent de reconstruire leur infrastructure. Le CERT d’Orange Cyberdefense poursuivra sa veille afin d’assurer une défense proactive contre de telles menaces, tout en continuant à promouvoir la collaboration entre le secteur public et privé, pour apporter l'intelligence de le menace sur le terrrain des actions concrètes et des arrestations. 

Sources et notes

(1) Lancée en 2024, l'opération Endgame constitue la plus vaste initiative internationale jamais menée pour lutter contre les rançongiciels et la cybercriminalité à l'échelle mondiale. Elle réunit les autorités judiciaires et les services de police spécialisés des Pays-Bas, d'Allemagne, du Danemark, des États-Unis, d'Australie, de France, de Belgique, du Royaume-Uni et du Canada, avec le soutien d'Europol et d'Eurojust. Grâce à une coopération étroite à l'échelle internationale, ces partenaires coordonnent leurs actions afin de perturber les réseaux cybercriminels et de démanteler leurs infrastructures. L'initiative repose également sur une collaboration avec des acteurs du secteur privé, dans le cadre d'un effort commun visant à renforcer la sécurité et la résilience de l'écosystème numérique face aux cybermenaces.

Sur le même thème

don't go to the police, an investigation into cybercrime

21 février 2026

Don't Go to the Police (EN)

Read more

19 mai 2026 | Actualités

Orange Cyberdefense s'allie au World Economic Forum pour lancer « Cosmos » une initiative mondiale open-source contre la cybercriminalité

Read more
Orange Cyberdefense obtient l'autorisation CVE Numbering Authority (CNA)

6 mai 2026 | Actualités

Orange Cyberdefense rejoint le programme CVE en tant que CVE Numbering Authority

Read more
Pierre-Yves Amiot, directeur opérationnel du CERT Orange Cyberdefense, analyse le phénomène croissant des fuites de données.

27 avril 2026 | Blog

Identifiants volés, bases exfiltrées, publications post-ransomware : anatomie des fuites de données qui frappent la France en 2026 [1/2]

Read more
Assistance 24h/24 7j/7