KrebsOnSecurity.com fête aujourd'hui son 16ème anniversaire ! Un immense « merci » à tous nos lecteurs : nouveaux arrivants, vétérans et critiques de passage. Votre engagement ici l’année dernière a été formidable et a véritablement été un baume pour une poignée de jours sombres. Heureusement, la récompense était un thème majeur de notre couverture en 2025, avec un accent principal sur les entités qui ont permis des services de cybercriminalité complexes et dispersés à l’échelle mondiale.
Image : Shutterstock, Younès Stiller Kraske.
En mai 2024, nous passons en revue l'histoire et la propriété de Stark Industries Solutions Ltée.un fournisseur « d’hébergement à toute épreuve » qui a été mis en service deux semaines seulement avant l’invasion de l’Ukraine par la Russie et a servi de base principale aux cyberattaques répétées du Kremlin et aux efforts de désinformation. Un an plus tard, Stark et ses deux copropriétaires ont été sanctionnés par l'Union européenne, mais notre analyse a montré que ces sanctions n'ont guère empêché les propriétaires de Stark de changer de nom et de transférer des actifs considérables du réseau vers d'autres entités qu'ils contrôlent.
En décembre 2024, KrebsOnSecurity a présenté Cryptomus, une société financière enregistrée au Canada qui est devenue le processeur de paiement de choix pour des dizaines d'échanges de cryptomonnaies russes et de sites Web proposant des services de cybercriminalité ciblant les clients russophones. En octobre 2025, les régulateurs financiers canadiens ont statué que Cryptomus avait gravement violé ses lois anti-blanchiment d'argent et ont imposé une amende record de 176 millions de dollars à la plateforme.
En septembre 2023, KrebsOnSecurity a publié les résultats de chercheurs qui ont conclu qu'une série de cyber-braquages à six chiffres impliquant des dizaines de victimes était le résultat de voleurs piratant des mots de passe principaux volés au service de gestion de mots de passe. dernier passage en 2022. Dans un dossier judiciaire déposé en mars 2025, des agents fédéraux américains enquêtant sur un vol spectaculaire de crypto-monnaie de 150 millions de dollars ont déclaré qu'ils étaient parvenus à la même conclusion.
Le phishing était un sujet majeur de la couverture médiatique de cette année, qui examinait les opérations quotidiennes de plusieurs gangs de phishing vocal qui effectuaient régulièrement des vols de cryptomonnaies élaborés, convaincants et financièrement dévastateurs. Une journée dans la vie d'une prolifique équipe de phishing vocal a examiné comment un gang de cybercriminels a abusé des services légitimes d'Apple et de Google pour imposer diverses communications sortantes à leurs utilisateurs, notamment des e-mails, des appels téléphoniques automatisés et des messages au niveau du système envoyés à tous les appareils enregistrés.
Près d’une demi-douzaine d’articles en 2025 portaient sur le phishing incessant par SMS ou « smishing » provenant de fournisseurs de kits de phishing basés en Chine, qui permettent aux clients de convertir facilement les données de cartes de paiement de phishing en portefeuilles mobiles Apple et Google. Dans le but de prendre le contrôle des ressources en ligne de ce syndicat de phishing, Google a depuis déposé au moins deux poursuites contre John Doe ciblant ces groupes et des dizaines de défendeurs anonymes.
En janvier, nous avons souligné les recherches sur un réseau de diffusion de contenu tentaculaire et peu fiable appelé Trouvé nul qui s'est spécialisé dans l'aide aux sites de jeux d'argent et de blanchiment d'argent basés en Chine pour distribuer leurs opérations entre plusieurs fournisseurs de cloud basés aux États-Unis. Cinq mois plus tard, le gouvernement américain a sanctionné Funnull, l'identifiant comme une source majeure d'escroqueries liées aux investissements et aux relations amoureuses connues sous le nom de « boucherie de porcs ».
Image : Shutterstock, ArtHead.
En mai, le Pakistan a arrêté 21 personnes qui travailleraient pour expéditeur de coeurun service de phishing et de diffusion de logiciels malveillants décrit pour la première fois par KrebsOnSecurity en 2015. Les arrestations ont eu lieu peu de temps après que le FBI et la police néerlandaise ont saisi des dizaines de serveurs et de domaines du groupe. Bon nombre des personnes arrêtées ont été publiquement identifiées pour la première fois dans un article publié en 2021 sur la manière dont elles avaient infecté par inadvertance leurs ordinateurs avec des logiciels malveillants révélant leur identité réelle.
En avril, le ministère américain de la Justice a accusé les propriétaires d'une société de commerce électronique basée au Pakistan de complot en vue de distribuer des opioïdes synthétiques aux États-Unis. Le mois suivant, KrebsOnSecurity a détaillé comment les propriétaires de l'entité sanctionnée sont peut-être mieux connus pour avoir mis en œuvre un plan complexe et de longue haleine visant à arnaquer les Occidentaux cherchant de l'aide pour les marques déposées, la rédaction de livres, le développement d'applications mobiles et la conception de logos.
Plus tôt ce mois-ci, nous avons examiné un empire universitaire frauduleux alimenté par Google Ads, qui a engrangé des dizaines de millions de dollars de revenus et entretient des liens curieux avec un oligarque lié au Kremlin dont l'université russe construit des drones pour la guerre de la Russie contre l'Ukraine.
Un drone d'attaque annoncé sur un site Internet hébergé sur le même réseau que la plus grande entreprise d'enseignement privée de Russie : Synergy University.
Comme toujours, KrebsOnSecurity s'est efforcé de surveiller de près les botnets les plus grands et les plus perturbateurs au monde, qui ont frappé Internet cette année avec des attaques par déni de service distribué (DDoS) deux à trois fois plus importantes et d'impact que les précédentes attaques DDoS record.
En juin, KrebsOnSecurity.com a subi la plus grande attaque DDoS que Google ait atténuée à l'époque (nous sommes un invité reconnaissant de l'excellente offre Project Shield de Google). Les experts ont imputé cette attaque à un botnet de l'Internet des objets appelé Aisuru dont la taille et la puissance de feu ont rapidement augmenté depuis ses débuts fin 2024. Une autre attaque d'Aisuru contre Cloudflare quelques jours plus tard a presque doublé la taille de l'attaque de juin contre ce site Web. Peu de temps après, Aisuru a été accusé d'un DDoS qui a encore doublé le record précédent.
En octobre, il est apparu que les cybercriminels contrôlant Aisuru avaient détourné l'attention du botnet DDoS vers une utilisation plus durable et plus rentable : la location de centaines de milliers d'appareils Internet des objets (IoT) infectés pour des services proxy qui aident les cybercriminels à anonymiser leur trafic.
Cependant, il est récemment devenu clair qu'au moins une partie des activités perturbatrices des réseaux de zombies et des proxys résidentiels attribuées à Aisuru l'année dernière était probablement l'œuvre de personnes chargées de créer et de tester un puissant réseau de zombies connu sous le nom de Kimlobo. société de sécurité chinoise Laboratoire XL, qui a été le premier à retracer l'essor d'Aisuru en 2024, a récemment décrit Kimwolf comme étant de loin le plus grand et le plus dangereux ensemble de machines compromises au monde, avec environ 1,83 million d'appareils sous son contrôle au 17 décembre.
XLab a noté que l'auteur de Kimwolf « fait preuve d'une fixation presque « obsessionnelle » sur le célèbre journaliste d'investigation en cybersécurité Brian Krebs, laissant des œufs de Pâques liés à lui à plusieurs endroits.
Image : XLab, Kimwolf Botnet exposé : l'énorme botnet Android avec 1,8 million d'appareils infectés.
Je suis heureux d'annoncer que les premiers articles de KrebsOnSecurity de 2026 plongeront dans les origines de Kimwolf et examineront les moyens uniques et hautement invasifs du botnet de propager des maladies numériques partout. Le premier de cette série comprendra un avis de sécurité complet et quelque peu sobre sur les dispositifs et services proxy résidentiels qui contribuent par inadvertance à alimenter la croissance rapide de Kimwolf.
Merci encore pour vos lecteurs continus, vos encouragements et votre soutien. Si vous aimez le contenu que nous publions sur KrebsOnSecurity.com, pensez à faire une exception pour notre domaine dans votre bloqueur de publicités. Les publicités que nous diffusons sont limitées à une poignée d'images statiques publiées en interne et vérifiées par moi (il n'y a pas de contenu tiers sur ce site, point final). Cela contribuerait à soutenir davantage le travail que vous voyez ici presque chaque semaine.
Et si ce n'est pas déjà fait, inscrivez-vous à notre newsletter par e-mail ! (62 000 autres abonnés ne peuvent pas se tromper, n'est-ce pas ?) La newsletter est simplement un e-mail en texte brut qui est envoyé dès qu'une nouvelle histoire est publiée. Nous envoyons un à deux e-mails par semaine, nous ne partageons jamais notre liste de diffusion et nous ne menons pas d'enquêtes ou de promotions.
Merci encore et bonne année à tous ! Restez en sécurité là-bas.