ZATAZ » Un courtier d’accès jordanien plaide coupable aux États-Unis

Derrière le pseudonyme r1z, un Jordanien admet avoir vendu des accès à 50 entreprises. L’enquête, menée sous couverture, relie aussi ses outils à un malware anti-EDR et à une attaque rançongiciel.

Feras Albashiti, 40 ans, ressortissant jordanien, a plaidé coupable jeudi pour avoir vendu sur un forum cybercriminel l’accès aux réseaux d’au moins 50 entreprises. Poursuivi pour fraude et activité connexe liée à des dispositifs d’accès, il encourt jusqu’à 10 ans de prison, avec une audience de condamnation prévue en mai 2026. D’après les documents judiciaires, un agent du FBI infiltré l’a approché dès mai 2023. Sous le pseudo r1z, Albashiti a vendu des accès via deux failles de pare-feu pour 4 600 euros, puis un malware capable de neutraliser des outils EDR.

De la vente d’accès au malware anti-EDR

L’histoire commence comme une transaction de plus sur un forum clandestin, et finit par un aveu devant la justice américaine. Selon la procédure, un agent du FBI, sous couverture, échange avec Feras Albashiti à partir de mai 2023, dans le cadre d’une enquête distincte visant un forum cybercriminel non nommé (En fait deux forums : BreachForums, XSS et LB). Albashiti opère sous le nom d’utilisateur r1z. Le premier produit proposé donne le ton : une version piratée d’un outil de test d’intrusion. La logique est classique dans l’économie de la cybercriminalité, fournir des moyens offensifs à moindre coût, puis monétiser l’étape la plus précieuse, l’accès initial.

Toujours d’après les documents, r1z vend ensuite à l’agent infiltré l’accès à 50 entreprises, obtenu grâce à deux méthodes d’exploitation visant des pare-feu, pour 5 000 $ (environ 4 600 euros). La somme paraît modeste au regard de ce qu’elle ouvre : une porte dans des réseaux d’entreprise, revendable, réexploitable, industrialisable. Mais comme a pu me le dire un pirate, voilà… 20 ans : « Je préfére toucher 10 fois 5 000 dollars aujourd’hui qu’esperer 1 million demain« .

En septembre 2023, l’échange change d’échelle. L’agent du FBI recontacte Albashiti au sujet d’un outil capable de désactiver des solutions de détection et réponse sur les postes, un EDR killer. Albashiti propose un malware présenté comme suffisamment puissant pour neutraliser trois marques différentes d’EDR. Le FBI achète une version pour 15 000 $ (environ 13 800 euros). Dans l’acte d’accusation, les enquêteurs soulignent que ce malware est « nouveau » et semble « très efficace » pour compromettre des réseaux.

C’est au moment du test que la mécanique de renseignement technique se referme. En évaluant le code fourni, le FBI parvient à remonter à l’adresse IP d’Albashiti. Le dossier ajoute qu’une même adresse IP apparaît dans une attaque par rançongiciel visant une entreprise industrielle américaine en juin 2023, pour un dommage estimé à 50 millions $ (46 millions d’euros). Les procureurs ne citent pas le nom de la victime, laissant un trou narratif, mais pas un vide opérationnel : l’élément suggère un pont possible entre courtage d’accès, outillage de désactivation défensive et rançongiciel.

Un courtier d’accès, une pièce du puzzle rançongiciel

Le dossier ne se limite pas à une trace réseau. Les enquêteurs finissent par rattacher le compte r1z (il était aussi connu sous les pseudonymes : r1z, Feras Bashiti ou encore Firas Bashiti) à Albashiti via un détail administratif : l’adresse électronique utilisée pour enregistrer le compte correspond à celle employée lors d’une demande de visa américain en 2016. Cette même adresse Gmail est aussi reliée, selon l’acte, à d’autres comptes et à des cartes de paiement enregistrées à son nom. Dans une enquête cyber, ce type de recoupement vaut souvent plus qu’un indice isolé : il relie une identité numérique, des moyens de paiement et une démarche officielle, donc une continuité d’attribution. Cela a permis aux autorités de fixer l’identité grace à sa date de naissance, ses mails, son téléphone et encore sa photo.

Au moment de l’inculpation, Albashiti vit à Tbilissi, en Géorgie. Il est extradé vers les États-Unis en juillet 2024. Après des mois marqués par des changements d’avocats, il accepte finalement un accord de plaidoyer et admet avoir vendu l’accès aux 50 entreprises. La peine maximale annoncée est de 10 ans. Une amende maximale de 250 000 dollars, ou du double du montant brut des gains ou des pertes résultant de l’infraction. La sentence doit tomber le 11 mai 2026. Aux USA il est fortement conseillé de plaider coupable pour ne pas finir à vie entre quatre grilles !

L’affaire rappelle ce qu’est un initial access broker : un rouage spécialisé qui fait le travail ingrat, pénétrer les réseaux, puis vendre l’entrée à d’autres, ou l’exploiter directement. Le texte précise que r1z était surveillé depuis des années, cité par plusieurs entreprises de cybersécurité et par des agences gouvernementales comme un acteur crédible, proposant des exploits fonctionnels visant des produits de sécurité. Fortinet, en 2022, avait publié une alerte sur r1z, indiquant qu’il « annonçait l’accès à 50 serveurs Confluence vulnérables » obtenus via une faille RCE critique non authentifiée, CVE-2022-26134, et revendiquait une liste de plus de 10 000 serveurs Confluence vulnérables. Une agence cyber du ministère américain de la Santé (HHS) le citait également comme crédible dans un rapport 2022. Health-ISAC, en janvier 2023, prévenait le secteur santé que r1z vendait des versions illicites de Cobalt Strike et proposait des accès non autorisés via Confluence, Microsoft Exchange, SonicVPN et VMWare.

Dans cette affaire, l’aveu ne ferme pas seulement un dossier, il documente une chaîne criminelle complète, de l’accès initial à l’anti-détection, et c’est précisément ce que cherche à cartographier le renseignement cyber.