Deux actes d’accusation décrivent une mécanique quasi militaire de piratage de distributeurs de billets : repérage, ouverture des capots, implantation d’un malware, puis vidage des automates.
Le ministère américain de la Justice annonce l’inculpation de 54 personnes dans une série de vols d’argent aux distributeurs via une variante du malware Ploutus. Deux actes d’accusation, dévoilés il y a quelques jours que zataz a pu consulter, évoquent au moins 63 opérations de « jackpotting » entre février 2024 et décembre 2025, dont 54 visant des distributeurs de billets d’une banque précises. Les pirates sont Vénézuéliens, membre d’un gang récemment classé organisation terroriste étrangère par l’Oncle Sam.
Une fraude qui commence par une clé, pas par une faille
Il y a quelques jours, le DOJ a posé un cadre : il ne s’agit pas d’une escroquerie en ligne classique, mais d’une prise de contrôle de distributeurs de billets de banque à hauteur d’homme, tournevis en main. Deux grands jurys fédéraux ont inculpé 54 personnes, accusées d’avoir développé et déployé une variante du code malveillant Ploutus pour vider des distributeurs à travers les États-Unis. Dans le premier acte, rendu public en décembre 2025, 22 prévenus sont décrits comme ayant commis ou tenté au moins 63 « ATM jackpottings« , piratage de Guichet automatique de billets (GAB) entre février 2024 et décembre 2025. Parmi ces faits, 54 Distributeurs de billets (DAB, autre nom d’un GAB) visent des machines installées dans des banques de l’enseigne Credit unions, cibles jugées assez accessibles pour être testées, retestées, puis exploitées.
La scène se répète, presque comme une procédure. Les groupes commencent par identifier des automates dans des banques ou des credit unions, puis ils reviennent pour une phase de « reconnaissance ». Les procureurs décrivent un geste révélateur : ouvrir le capot ou la porte de l’ATM, puis attendre à proximité, afin de vérifier si un système d’alarme ou une réaction policière se déclenche. Cette pause n’est pas un détail, c’est un test de défense. Elle mesure le temps de réponse, la présence de capteurs silencieux, et la tolérance du lieu à une intrusion visible.
Vient ensuite la partie technique, qui reste paradoxalement artisanale. L’installation du malware se ferait de trois façons : retirer le disque de stockage et y déposer le code malveillant, remplacer le disque par un autre déjà préparé, ou connecter un appareil externe, type clé USB, pour déclencher le déploiement. Les procureurs résument le prérequis : obtenir un accès physique à l’ATM, retirer le support de données, installer le code, puis réinsérer le support. Ploutus, dans cette version, permettrait de contourner les contrôles de sécurité de l’automate et d’envoyer une commande, le moment où la machine obéit et délivre les billets.
Les chiffres donnent une profondeur à la méthode. Le DOJ affirme qu’au moins 5,4 millions $ ont été volés par le groupe des 22 accusés, et qu’une tentative additionnelle de 1,4 million $ a échoué. L’acte d’accusation cite aussi un vol en mars 2025 à Omaha, Nebraska, évalué à 79 200 $ (72 990 €).
Dans une seconde procédure, déposée en octobre 2025 et rendue publique fin décembre 2025, 32 autres personnes sont accusées d’infractions liées au même schéma. L’impression générale est celle d’une organisation en strates : des équipes sur le terrain, et une couche de coordination qui distribue outils et consignes. La procureure fédérale Lesley Woods avance un élément de hiérarchie : l’argent soutiré aurait été réparti entre ceux qui exécutent les intrusions physiques et des responsables plus haut placés dans le gang.
Une influenceuse DJ arrêtée
Parmi les personnes inculpées figurent un mannequin, une actrice et une DJ vénézuélienne ayant des liens présumés avec le syndicat du crime sud-américain Tren de Aragua (TdA). Jimena Romina Araya Navarro, plus connue sous le nom de Rosita, qui a été sanctionnée le 3 décembre par l’Office of Foreign Assets Control (OFAC) du département du Trésor américain pour ses liens avec TdA. L’influenceuse, qui compte 3 millions d’abonnés sur Instagram, est connue pour son amour des bikinis.
Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.
Fuites de données, Veille web & dark web, alertes et priorisation des risques. |
Dédiée aux entreprises, institutions et particuliers. A PARTIR DE 0,06€ PAR JOUR |
Tren de Aragua, pression politique et continuité technique de Ploutus
Le DOJ affirme que des membres de la conspiration appartiennent à Tren de Aragua, gang vénézuélien récemment désigné organisation terroriste étrangère par le Département d’État Américain. Cette attribution arrive dans un climat politique tendu. Le dévoilement des actes d’accusation coïncide avec une hausse de pression de l’administration Trump contre le gouvernement vénézuélien, Washington affirmant que les dirigeants du pays auraient des liens avec Tren de Aragua. Un mémo de renseignement américain divulgué en avril 2025 conteste, lui, l’existence de ces liens. Ce contraste produit un bruit de fond : l’enquête criminelle est factuelle, mais sa lecture publique s’insère dans un rapport de force géopolitique.
Sur les identités, un détail tranche : Jimena Romina Araya Navarro est confirmée comme vénézuélienne, tandis que les nationalités des autres mis en cause restent incertaines dans les informations fournies. Pour l’angle cyber, cette incertitude compte moins que la constance du mode opératoire : l’attaque requiert une présence physique, et donc des logisticiens, des repéreurs, des exécutants et des relais capables d’absorber des arrestations.
Ploutus, lui, n’est pas un nouveau venu. Des alertes courent depuis près d’une décennie sur ses variantes. Des chercheurs de Google l’ont qualifié de famille de malwares ATM parmi les plus avancées observées. Symantec l’a détecté dès 2013. ZATAZ vous montrait une attaque de Jackpotting en 2015. La première grande vague aurait touché le Mexique la même année, avec une innovation alors inédite : vider un distributeur soit via un clavier externe branché sur la machine, soit par commande SMS, selon Google. Au fil du temps, Ploutus a ciblé plusieurs constructeurs et plates-formes d’ATM, dont Diebold Nixdorf et Kalignite Platform. Diebold Nixdorf a diffusé des alertes en 2017 et 2018 sur des variantes utilisées pour voler au Mexique et aux États-Unis.
Le facteur limitant reste physique : il faut une clé maître pour ouvrir la partie supérieure, ou savoir forcer la serrure, afin de connecter un périphérique ou manipuler le stockage. À cela s’ajoute une capacité de nettoyage : le malware serait capable d’effacer des traces de l’attaque.
Enfin, un écho politique referme le décor : il y a quelques jours, le Venezuela a accusé les États-Unis d’être à l’origine d’une cyberattaque visant sa compagnie pétrolière publique, bloquant des opérations depuis plusieurs jours. Les dossiers ne sont pas mélangés dans les faits rapportés, mais ils se répondent dans le récit : cybercriminalité, accusations d’État, et une même bataille pour contrôler les infrastructures qui font circuler l’argent.
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
