L'arrestation des voleurs de comptes Roblox près de Lviv, le piratage du planificateur de tâches chinois dans le but de miner et d'autres événements de cybersécurité - ForkLog : cryptomonnaies, IA, singularité, avenir

# Arrestation des pirates de comptes Roblox près de Lviv, piratage du planificateur de tâches chinois à des fins de minage et autres événements en cybersécurité

Nous avons rassemblé les nouvelles les plus importantes du monde de la cybersécurité de la semaine.

• Les forces de l’ordre ont mené des opérations contre des centres de scam en Europe, aux Émirats arabes unis et en Thaïlande.
• Des experts ont découvert un kit de phishing avec des fonctionnalités d’IA.
• Des hackers de Drohobychi ont vendu des identifiants de joueurs Roblox pour près de 10 millions de hryvnias.
• Une erreur critique dans le logiciel des ransomwares entraîne une perte irréversible de données.

Les forces de l’ordre ont mené des opérations contre des centres de scam en Europe, aux Émirats arabes unis et en Thaïlande

Lors d’une opération conjointe, les forces de l’ordre des États-Unis, de Chine, des Émirats arabes unis et de Thaïlande ont stoppé l’activité de neuf centres de scam de cryptomonnaies et arrêté 276 suspects. Un rapport à ce sujet a été publié par le ministère américain de la Justice.

Les personnes arrêtées aux Émirats arabes unis et en Thaïlande utilisaient des schémas de « mise à mort de cochons ». Après le consentement de la victime, elles perdaient l’accès à la cryptomonnaie « investie ». Les criminels convainquaient également les victimes d’emprunter de l’argent à leurs proches ou de prendre des crédits.

Un citoyen de Myanmar, Tet Min Nyi, est accusé de complot en vue de fraude et de blanchiment d’argent. Selon l’enquête, il était gestionnaire et recruteur dans une organisation criminelle connue sous le nom de Ko Thet Company. Les membres des groupes Sanduo Group et Giant Company sont également en attente de procès.

En Europe, la semaine dernière, un réseau de scammers, qui aurait causé des pertes de plus de 50 millions d’euros à travers le monde, a été démantelé.

Une opération conjointe d’Europol et Eurojust, lancée en juin 2023, a conduit à l’arrestation de 10 suspects, ainsi qu’à des perquisitions dans trois centres d’appels et neuf résidences privées en Autriche et en Albanie.

Centre de scam à Tirana. Source : Europol. Selon l’enquête, les victimes étaient attirées sur de fausses plateformes d’investissement via des publicités dans les moteurs de recherche et sur les réseaux sociaux. En réalité, les fonds étaient dirigés vers un schéma international de blanchiment d’argent. En cas de secondement, les criminels contactaient à nouveau les « clients » pour leur proposer d’aider à récupérer les actifs perdus. On leur demandait de verser 500 euros supplémentaires en cryptomonnaie en guise de contribution initiale.

Le réseau de fraude était enregistré comme une entreprise légale avec 450 employés. Les opérateurs travaillaient en groupes de six à huit personnes, réparties par langue, et recevaient un salaire mensuel d’environ 800 euros, plus des bonus.

Des experts ont découvert un kit de phishing avec des fonctionnalités d’IA

Les spécialistes en cybersécurité de Varonis ont découvert un kit d’outils de phishing appelé Bluekit. Il offre aux attaquants plus de 40 modèles imitant des services populaires, ainsi qu’un assistant IA intégré pour créer des brouillons de campagnes malveillantes.

Le kit propose des scripts ciblant la messagerie électronique (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), iCloud, GitHub et portefeuilles cryptographiques Ledger.

La principale caractéristique de Bluekit est le panneau AI Assistant, qui supporte plusieurs modèles d’IA, notamment Llama, GPT-4.1, Claude, Gemini et DeepSeek. L’outil aide les cybercriminels à rédiger des textes de phishing.

Selon Varonis, cette fonction est encore expérimentale. Le brouillon d’attaque testé avait une structure utile, mais contenait des champs génériques pour les liens, des espaces réservés pour les QR codes et du texte nécessitant une amélioration avant utilisation.

Source : Varonis. En plus de l’IA, Bluekit rassemble dans un seul panneau la gestion de tout le cycle d’attaque :

• enregistrement de domaines. Achat et configuration d’adresses directement depuis l’interface ;
• gestion des campagnes. Création de pages de phishing avec un design réaliste et des logos de marques connues comme Zara, Zoho et Ledger ;
• configuration fine. Blocage du trafic via VPN et proxy, suppression des systèmes d’analyse automatisés et installation de filtres basés sur les empreintes digitales des appareils ;
• interception des données. Transmission des informations volées via Telegram vers des canaux privés de hackers.

Source : Varonis. La plateforme permet de suivre en temps réel les sessions des victimes, y compris les cookies, le stockage local et l’état de la session active après connexion. Cela aide les hackers à ajuster leurs attaques pour maximiser leur efficacité.

Selon les experts, malgré son stade de développement actif, le produit évolue rapidement et pourrait se répandre largement.

Des hackers de Drohobychi ont vendu des identifiants de joueurs Roblox pour près de 10 millions de hryvnias

Les forces de l’ordre de Lviv ont arrêté des escrocs qui ont volé des comptes Roblox pour une valeur de 10 millions de hryvnias, a déclaré le bureau du procureur général d’Ukraine.

Selon l’enquête, trois habitants de Drohobychi promouvaient des infostylers sous prétexte d’outils pour améliorer le jeu. Grâce à un logiciel malveillant, les hackers accédaient aux identifiants des victimes.

Source : Bureau du procureur général d’Ukraine. Les accès obtenus étaient vérifiés à l’aide d’un programme spécial (checkeur), qui montrait le contenu du compte. Entre octobre 2025 et janvier 2026, plus de 610 000 comptes ont été filtrés de cette manière pour rechercher les plus précieux. Les données étaient vendues contre de la cryptomonnaie sur des sites russes.

À la suite de 10 perquisitions, les forces de l’ordre ont saisi du matériel, des enregistrements, plus de 2 500 euros et environ 35 000 dollars. Les suspects sont inculpés de vol et de cybercriminalité.

Une erreur critique dans le logiciel des ransomwares entraîne une perte irréversible de données

Les experts de Check Point ont découvert un défaut grave dans le mécanisme de traitement des nombres cryptographiques à usage unique (nonce) dans le ransomware VECT 2.0. Au lieu d’un chiffrement, l’erreur entraîne la destruction des données sans possibilité de récupération.

Le problème réside dans la façon dont VECT 2.0 traite les fichiers de plus de 128 Ko. Pour accélérer le processus, le logiciel divise les objets en quatre parties et les chiffre séparément. Cependant, des erreurs dans la logique de programmation entraînent des conséquences catastrophiques :

1. Toutes les parties du fichier utilisent le même tampon mémoire pour la sortie du nonce. Chaque nouvelle clé générée écrase la précédente.
2. Au final, il ne reste qu’une seule partie, qui est enregistrée sur le disque.
3. Il n’est possible de restaurer que les 25 % de la fin du fichier. Les trois premières parties sont irrécupérables, car les nombres uniques nécessaires ont été définitivement perdus lors du processus.

Même si la victime paie la rançon, les attaquants ne pourront pas déchiffrer les données, car les nonce supprimés ne sont pas transmis aux serveurs des hackers.

Les chercheurs ont noté que la limite de 128 Ko est extrêmement faible. Tout ce qui dépasse cette taille est concerné, notamment :

• images de machines virtuelles ;
• bases de données et sauvegardes ;
• documents bureautiques, feuilles de calcul et boîtes mail.

Cela transforme le logiciel malveillant d’un ransomware en un simple destructeur de données (wiper), rendant toute demande de rançon inutile. L’erreur est présente dans toutes les versions de VECT 2.0 — pour Windows, Linux et ESXi.

Nom incorrect de l’algorithme de chiffrement dans la publicité des ransomwares. Source : Check Point. Selon les experts, VECT était activement promu sur la plateforme de hackers BreachForums. Les opérateurs invitaient les utilisateurs à devenir partenaires et envoyaient des clés d’accès via des messages privés.

Plus tard, le groupe a annoncé un partenariat avec TeamPCP — l’équipe derrière des attaques récentes sur les chaînes d’approvisionnement Trivy, LiteLLM, Telnyx, ainsi que sur la Commission européenne. L’objectif était d’utiliser les victimes pour déployer des logiciels de rançon.

Des hackers ont piraté le planificateur de tâches Qinglong à des fins de minage

Les attaquants ont exploité deux vulnérabilités d’évasion d’authentification dans le planificateur de tâches Qinglong pour miner clandestinement des cryptomonnaies sur les serveurs des développeurs. C’est ce qu’ont rapporté les experts en cybersécurité de Snyk.

Qinglong est une plateforme de gestion de tâches en Python/JS open source, populaire parmi les développeurs chinois.

La chaîne d’infection pour l’exécution à distance du code a concerné les versions 2.20.1 et supérieures de Qinglong.

Selon les spécialistes, la cause principale des vulnérabilités réside dans le décalage entre la logique d’autorisation du middleware et le comportement de routage du framework web Express.js. Le niveau d’authentification supposait que certains modèles d’URL seraient toujours traités de la même manière, ce qu’Express.js ne respectait pas.

Selon Snyk, la campagne des attaquants a commencé le 7 février 2026. Les utilisateurs de Qinglong ont d’abord découvert un processus malveillant caché nommé .FULLGC. Pour dissimuler, il imite une tâche standard gourmande en ressources.

Le mineur utilisait 85 à 100 % de la puissance du processeur et ciblait les systèmes Linux, ARM64 et macOS. Les développeurs de Qinglong ont corrigé la vulnérabilité dans la PR 2941.

Sur ForkLog :

• Avril a battu un record de piratages dans l’industrie crypto.
• Un hacker a extrait plus de 5 millions de dollars du protocole Wasabi.
• ZetaChain a révélé des détails sur une attaque cross-chain de 334 000 dollars.
• Des hackers ont attaqué le protocole DeFi Scallop.
• Litecoin a subi une réorganisation de blocs à cause d’une faille zero-day.

Que lire ce week-end ?

Pour ceux qui ont manqué l’essentiel du mois, ForkLog a préparé un résumé succinct.