Plutôt que de cibler des services malveillants de manière isolée, Microsoft s’attaque frontalement à la chaîne d’approvisionnement des cyberattaques. L’approche a permis de neutraliser simultanément deux malwares, Amadey et StealC, après qu’une analyse assistée par l’IA a révélé leur dépendance à une infrastructure partagée.
Avec la contribution de l’IA et de Copilot
Les enquêteurs de Microsoft ont eu recours à des outils d’IA, dont Copilot, pour analyser les malwares. Le groupe explique que cela a permis de » faire remonter des détails clés, découvrir des données cachées et tester les résultats en une fraction du temps. «
Ce qui aurait nécessité des jours d’analyse manuelle de code complexe a été accompli en quelques minutes, accélérant de manière spectaculaire la découverte de connexions cruciales.
Les équipes ont pu mettre en évidence la dépendance mutuelle entre Amadey et StealC, deux familles de malwares pourtant développées par des groupes cybercriminels distincts.
Cette découverte d’une infrastructure partagée a fourni à l’équipe juridique de Microsoft l’argument nécessaire pour traiter les deux opérations comme une seule et même entité sous l’égide de la législation américaine RICO (Racketeer Influenced and Corrupt Organizations Act), conçue à l’origine pour lutter contre le crime organisé.
Quand Amadey et StealC font la paire
Le cybercrime moderne ne se compose plus d’attaques isolées, mais fonctionne comme une véritable chaîne modulaire. Amadey et StealC jouaient des rôles complémentaires et critiques.
Amadey est un malware-as-a-service utilisé pour obtenir un accès initial aux appareils des victimes et déployer d’autres logiciels malveillants. StealC est spécialisé dans le vol de mots de passe, de cookies de navigateur, de portefeuilles de cryptomonnaies et d’autres données sensibles.
À eux seuls, Amadey et StealC ont été liés à plus de 140 000 ordinateurs infectés dans le monde durant les deux premières semaines de mai.
Une collaboration large indispensable
Microsoft a travaillé en étroite coopération avec le Centre européen de lutte contre la cybercriminalité d’Europol (EC3), la police allemande, néerlandaise et danoise, ainsi que des entreprises de cybersécurité comme ESET, IBM X-Force et Proofpoint.
L’utilisation de la loi américaine RICO a permis de poursuivre plusieurs complices impliqués à différents niveaux. Plus de 200 serveurs de commande et de contrôle ont été démantelés, soit l’épine dorsale des infrastructures d’Amadey et StealC.