Arrêté à Rome puis extradé vers les États-Unis, un pirate russe de 25 ans s’apprête à plaider coupable pour son rôle central dans les attaques du rançongiciel Yanluowang. Derrière ce pseudonyme aux sonorités asiatiques, se cachait en réalité un réseau russophone mêlant hackers et acteurs liés au renseignement militaire.
Aleksey Volkov, 25 ans, plaidera coupable pour avoir vendu des accès à des entreprises américaines ciblées par le rançongiciel Yanluowang. Cette affaire dévoile les coulisses du marché noir des courtiers d’accès russes et les stratégies de désinformation qui brouillent les enquêtes internationales. Un dossier clé sur la jonction entre cybercrime et renseignement.
Le parcours d’un hacker devenu courtier d’accès
Aleksey Olegovich Volkov n’était pas un simple pirate isolé. Selon l’acte d’accusation américain, il agissait comme courtier d’accès initial, un maillon discret mais vital de la chaîne du rançongiciel. Son rôle : pénétrer les réseaux d’entreprises, puis revendre cet accès à des groupes criminels comme Yanluowang. En échange, il percevait une part des rançons extorquées. Les documents judiciaires, dévoilés fin octobre, détaillent huit victimes. Deux d’entre elles ont payé un total d’environ 1,5 million $ (1,39 million d’euros) pour récupérer leurs systèmes. Volkov aurait empoché plus de 256 000 $ (238 000 euros).
Selon les procureurs, il s’est aussi enrichi en vendant des accès à d’autres hackers indépendants. L’un des agents du FBI résume dans le rapport d’enquête : « Volkov agissait comme un fournisseur de portes d’entrée numériques. Il savait parfaitement que les accès qu’il revendait seraient utilisés pour des attaques par rançongiciel. » ZATAZ vous a souvent montré ces petites annonces pirates proposant de recruter des « pentester » malveillants. L’activité d’Aleksey, connu sous pseudonyme de chubaka.kor (entre autre sur XSS) s’étendait de juillet 2021 à novembre 2022. Les communications interceptées montrent des échanges constants avec les membres du gang Yanluowang, parfois pour planifier des attaques par déni de service (DDoS), parfois pour négocier la part de rançon qui lui revenait. Parmi les cibles : des banques, des entreprises de télécommunications et des sociétés d’ingénierie basées dans six États américains, dont la Californie, la Pennsylvanie et l’Illinois. Les dirigeants de certaines sociétés ont rapporté avoir reçu des appels menaçants : « Vos fichiers sont chiffrés. Si vous refusez de payer, votre réseau et vos données seront détruits. »
Chubaka.kor, le maillon faible traqué
L’arrestation de Volkov n’a rien d’un hasard. L’enquête a commencé lorsqu’un serveur utilisé par Yanluowang a été saisi. En analysant ses journaux de discussion, les enquêteurs ont découvert les traces de « chubaka.kor », identifié comme l’intermédiaire principal pour la vente d’accès. Grâce à la traçabilité des cryptomonnaies, le FBI a relié plusieurs transactions à une adresse appartenant à « Alekseq Olegovi3 Volkov ». Le portefeuille avait été vérifié sur une plateforme d’échange avec un passeport russe au nom d’Aleksey Volkov, né le 20 mars 2000. L’adresse électronique associée à ce compte menait à un identifiant Apple et un profil Twitter, scellant définitivement le lien.
Les autorités italiennes, alertées par les États-Unis, l’ont arrêté à Rome en 2023. L’histoire ne dit pas si le pirate allait chercher de l’argent liquide, rencontre des « mafieux » locaux ou, tout simplement, était en vacances. Après une année de procédures, il a été extradé vers l’Indiana, où il a signé un accord de plaidoyer le 29 octobre 2025. Sa comparution pour validation est fixée au 25 novembre. L’accord stipule qu’il devra verser 9 millions $ (8,36 millions d’euros) de restitution à six victimes identifiées.
Dans le texte du « plea deal », ZATAZ a pu lire : « Le prévenu reconnaît avoir agi comme courtier d’accès initial pour les attaques Yanluowang […] Il admet avoir perçu une part des rançons versées et utilisé des transactions en cryptomonnaie pour masquer l’origine des fonds.«
VEILLE ZATAZ : NOUS RECHERCHONS VOS DONNÉES PIRATÉES. DÉCOUVRIR
Yanluowang, l’illusion chinoise
Le nom du groupe évoquait la mythologie chinoise, Yanluowang, le roi des enfers, mais les apparences étaient trompeuses. Découvert par Symantec en octobre 2021, le rançongiciel s’est d’abord fait connaître par ses attaques ciblées contre des entreprises occidentales, notamment Cisco et Walmart. Les victimes recevaient des messages en anglais et en chinois, suggérant une origine asiatique. Fin 2022, tout s’effondre. Le site de fuite de Yanluowang est piraté. Quelqu’un publie plus de 2 700 messages internes échangés entre janvier et septembre 2022. Ces conversations, mises en ligne, révèlent que le groupe est en réalité dirigé par des acteurs russophones.
Des extraits montrent des discussions entre membres sur les taux de change du rouble et sur leurs relations avec d’autres gangs comme LockBit ou Conti. L’une des révélations les plus marquantes concerne un membre identifié comme travaillant pour le ministère russe de la Défense. Bien que Moscou ait nié tout lien, la découverte a conforté les analystes qui soupçonnaient depuis longtemps une porosité entre groupes criminels et milieux militaires. Kaspersky a par ailleurs identifié une faiblesse dans l’algorithme de chiffrement du malware et publié en décembre 2022 un déchiffreur gratuit. Cette fuite technique a précipité la chute du groupe, dont les serveurs ont cessé toute activité début 2023.
La désinformation, arme invisible du rançongiciel
L’affaire Volkov illustre un autre volet moins visible de la guerre numérique : la désinformation. Depuis plusieurs années, les groupes de rançongiciels utilisent la manipulation de l’information pour brouiller les pistes et retarder les enquêtes. Yanluowang en est un exemple typique. En adoptant une identité visuelle et des messages en chinois, le gang a entretenu l’illusion d’une origine asiatique pendant plus d’un an. Cette mise en scène a trompé plusieurs analystes au début de l’enquête et faussé les pistes de coopération internationale. Comme le rappel souvent ZATAZ, la désinformation n’est pas un effet secondaire, c’est une tactique. « Certains groupes simulent une origine étrangère pour détourner la responsabilité politique ou compliquer les demandes d’extradition.«
Les effets ne se limitent pas aux services d’enquête. Les entreprises victimes subissent elles aussi cette opacité. Lorsqu’elles croient avoir affaire à un groupe étranger, elles hésitent à collaborer avec les autorités locales par crainte de représailles diplomatiques ou de fuites de données. Dans le cas Yanluowang, plusieurs sociétés américaines ont retardé leur signalement, pensant que l’attaque venait de Chine. Résultat : les négociateurs de rançons ont eu plus de temps pour effacer leurs traces et transférer les cryptomonnaies. Au niveau international, cette désinformation perturbe la coopération judiciaire. Les services européens et américains peinent à échanger des données précises quand les indices d’origine sont falsifiés. Un expert d’Europol résumait d’ailleurs à ce sujet : « Quand un rançongiciel se déguise en acteur chinois, iranien ou nord-coréen, chaque État hésite à intervenir, de peur de s’engager dans une escalade diplomatique. » Ces campagnes de brouillage font partie d’une stratégie d’influence plus large. Les groupes cybercriminels ne se contentent plus de voler : ils participent, consciemment ou non, à la guerre de l’information. En exploitant des symboles culturels ou des narratifs géopolitiques, ils façonnent la perception publique des attaques. Yanluowang, en se déguisant en fantôme chinois, a ainsi servi un double objectif : extorquer des millions et nourrir la confusion entre criminalité et cyber-espionnage d’État.
Le cas Volkov dépasse le simple cadre judiciaire. Il éclaire la mutation du cybercrime organisé : transnational, structuré, et désormais habile dans l’art de la manipulation narrative. Derrière les adresses IP et les rançons en bitcoin, se jouent des stratégies d’influence où la désinformation brouille les frontières entre crime, guerre et politique. Reste à savoir si la justice américaine parviendra à transformer cette victoire symbolique en modèle durable de coopération contre les courtiers d’accès russophones. Car sans eux, le marché du rançongiciel perdrait sa première arme : la porte d’entrée. Peut-on encore démanteler l’économie du rançongiciel sans neutraliser la machine de désinformation qui la protège ?
Sources
Symantec, Yanluowang ransomware attacks, octobre 2021 : https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/yanluowang-ransomware
Kaspersky, Yanluowang decryptor released, décembre 2022 : https://www.kaspersky.com/blog/yanluowang-decryptor
