ZATAZ » Les rançongiciels passent à l’ère de l’espionnage organisé

Entre recrutement de pentesters et tactiques dignes des services secrets, les groupes de ransomware comme MedusaLocker et Charon réécrivent les codes du crime numérique avec une précision quasi militaire.

Les cybercriminels changent de méthode. MedusaLocker recrute des pentesters pour infiltrer les réseaux de façon chirurgicale avant de lancer ses attaques. Objectif : désactiver les sauvegardes, exfiltrer les données, puis chiffrer les systèmes ciblés. De son côté, Charon, un nouveau venu dans l’univers des ransomwares, imite à la perfection les tactiques des APT étatiques. DLL malveillantes, injection de processus, cryptographie hybride, persistance avancée : ses capacités techniques laissent peu de place au doute. Le cybercrime ne se contente plus d’attaques de masse, il s’inspire désormais des services de renseignement pour frapper juste, fort, et en silence. Une industrialisation inquiétante du crime numérique s’opère, repoussant chaque jour un peu plus les frontières entre mafias, hacktivisme et espionnage.

MedusaLocker, la cybercriminalité comme une entreprise de renseignement

C’est un message qui ne s’adresse pas au grand public, mais il est bien visible pour ceux qui savent où chercher. Sur son blog, « dissimulé » sur le réseau Tor, le groupe MedusaLocker a récemment publié une annonce de recrutement. Pas pour un rôle technique dans une entreprise légitime, mais pour un poste de pentester dans un gang de rançongiciel. Une invitation directe à rejoindre l’opération, rémunérée au pourcentage sur les rançons extorquées. Le mode opératoire est limpide : les candidats doivent infiltrer des systèmes ESXi, Windows ou ARM, désactiver les mécanismes de sauvegarde, exfiltrer des données sensibles, et préparer le terrain pour l’exécution du malware.

Ce fonctionnement rappelle moins une organisation criminelle classique qu’une cellule d’opérations spéciales. La mission est segmentée, chaque profil est spécialisé, et la communication, parfaitement calibrée. Le pentester ne développe pas le rançongiciel, ne négocie pas les rançons, ne gère pas l’infrastructure. Il infiltre, silencieusement. Puis cède la main. Ce découpage des tâches répond à un objectif simple : l’efficacité opérationnelle et la minimisation des traces. L’un ne sait jamais tout du reste.

Cette approche n’est pas un hasard. Depuis son apparition, MedusaLocker s’est distingué par sa capacité à évoluer : exploitation rapide des vulnérabilités, adaptation aux infrastructures virtualisées, et ciblage croissant des environnements critiques. Ils s’attaqueront, entre autre, à la grande course automobile Nascar. Le groupe a mené, à lui seul, plus de 460 attaques, dont plus d’une centaine depuis le début de l’année (108 depuis janvier 2025 ; 211 en 2024). Une montée en puissance constante, portée par une logique d’automatisation… mais désormais aussi, de professionnalisation. À la manière d’une start-up, MedusaLocker investit dans les talents. Sauf que les objectifs ne sont pas la croissance ou l’innovation. Ils sont la compromission, l’extorsion, et la discrétion.

Charon, un rançongiciel aux allures d’opération clandestine

Il est apparu sans prévenir, dans le sillage de cyberattaques ciblées au Moyen-Orient. Son nom, Charon, évoque le passeur des morts de la mythologie grecque. Et ce n’est pas un hasard : ce nouveau rançongiciel est pensé comme une opération silencieuse, menée avec des techniques dignes d’un service de renseignement. Il ne bombarde pas les réseaux de requêtes ou ne chiffre pas tout à l’aveugle. Il infiltre, se dissimule, analyse. Et frappe, seulement quand le moment est opportun.

Charon utilise des méthodes techniques qu’on retrouve habituellement dans des campagnes d’APT sophistiquées. DLL sideloading, injection dans des processus légitimes comme svchost.exe, suppression des copies de sauvegarde système… chaque action est calibrée. Le fichier initial se présente comme un exécutable de navigateur. Il contient un shellcode chiffré dans un fichier .log, qui déclenche un déchiffrement en plusieurs étapes. À l’arrivée, un ransomware complet, capable de cibler des serveurs, d’éviter les protections, et de laisser peu de traces.

Mais le plus frappant reste son approche du chiffrement. Charon n’utilise pas un algorithme classique. Il opte pour un schéma hybride, combinant Curve25519 pour l’échange de clés, et ChaCha20 pour la vitesse et la sécurité. Résultat : un chiffrement rapide, fiable, et difficilement réversible. Il évite également de chiffrer les fichiers système ou les extensions critiques, pour garantir que la machine reste opérationnelle — juste assez pour afficher la note de rançon personnalisée. Car oui, chaque attaque est ciblée. Le nom de la victime figure dans le message. Ce n’est pas du hasard, c’est du repérage.

Charon n’a pas seulement des caractéristiques techniques avancées. Il contient également une fonctionnalité dormante de désactivation des EDR — les solutions de détection et de réponse aux menaces. Cette capacité n’a pas encore été activée dans les attaques connues, mais elle démontre une intention : celle de perdurer dans les réseaux compromis, de rester invisible le plus longtemps possible, et d’ajuster les outils selon la cible.

Espionnage ou extorsion ? La frontière s’efface petit à petit

Ce que révèlent ces deux cas n’est pas seulement un changement de méthodes. C’est un glissement de paradigme. La cybercriminalité ne se contente plus de copier les outils des groupes APT. Elle en adopte la philosophie. Charon ressemble davantage à une opération du renseignement offensif qu’à une attaque opportuniste. Il infiltre, reste silencieux, prend le temps d’analyser. Il est même capable de désactiver les protections comme le ferait un malware d’État-nation.

De son côté, MedusaLocker n’innove pas tant dans la technique que dans l’organisation. En recrutant des pentesters pour mener les reconnaissances, il transforme sa structure interne. Ce n’est plus une bande de hackers improvisés. C’est une entreprise souterraine, avec ses talents, ses procédures, son mode de rémunération, et sa division du travail. Chaque profil est isolé, chaque tâche est spécifique. Cette méthode n’est pas sans rappeler celles des services secrets, où l’information est cloisonnée, la traçabilité réduite, et les actions segmentées pour éviter les fuites.

Ces mutations posent des questions fondamentales. Si les rançongiciels sont maintenant opérés avec la précision d’une opération clandestine, si les attaquants s’organisent comme des agences, que devient la capacité des États à réagir ? L’arsenal juridique, souvent pensé pour le cybercrime de masse, semble efficace dans certains cas, mais la détection basée sur des comportements classiques perd de son efficacité. Et l’attribution, déjà complexe, devient presque illusoire quand les techniques utilisées imitent celles des grandes puissances.

MedusaLocker et Charon ne sont pas deux exceptions. Ils sont les premiers signaux d’une transformation plus large. La cybercriminalité, sous pression, se professionnalise. Elle ne cherche plus seulement à faire du volume, mais à maximiser la rentabilité, en minimisant l’exposition. Elle adopte les codes du renseignement, pas seulement pour brouiller les pistes, mais pour durer.