15 000 sites WordPress nettoyés après une vaste opération

Près de 15 000 sites WordPress compromis ont été assainis dans le cadre d’Operation Endgame, une vaste opération internationale contre le malware SocGholish.

Une nouvelle étape vient d’être franchie dans la lutte contre la cybercriminalité. Cette semaine, les autorités de plusieurs pays ont porté un coup significatif à l’infrastructure utilisée par SocGholish, un malware actif depuis plusieurs années. L’opération a permis d’assainir près de 15 000 sites WordPress compromis et de neutraliser plus d’une centaine de serveurs et domaines utilisés dans les attaques. Au-delà du bilan technique, les chiffres révèlent surtout l’ampleur d’un dispositif qui continue de toucher des organisations de tous horizons.

Une opération internationale qui cible les premiers maillons des attaques

Coordonnée dans le cadre d’Operation Endgame, l’intervention a mobilisé les services spécialisés des Pays-Bas, du Canada, des États-Unis et de l’Allemagne, avec le soutien d’Europol et d’Eurojust. Au total, 14 971 sites WordPress infectés ont été nettoyés et 106 serveurs ou noms de domaine retirés de la circulation.

Lancée en 2024, cette initiative rassemble neuf pays autour d’un objectif précis : perturber les outils utilisés avant même le déploiement d’une attaque de grande ampleur. Les enquêteurs visent notamment les botnets, les chargeurs de malwares et les mécanismes qui permettent une première intrusion dans les réseaux. Les propriétaires des sites compromis ont également été alertés grâce à plusieurs organismes spécialisés dans la cybersécurité et la notification des fuites de données.

SocGholish, une porte d’entrée vers les rançongiciels

Connu aussi sous le nom de FakeUpdates, SocGholish repose sur une méthode relativement simple. Lorsqu’un internaute visite un site compromis, une fausse alerte l’invite à mettre à jour son navigateur. Le téléchargement déclenche alors l’installation d’un programme malveillant qui ouvre un accès à distance à la machine.

Derrière cette activité se trouve le groupe TA569, également identifié sous les noms Mustard Tempest, Gold Prelude ou UNC1543. Sa spécialité consiste à obtenir un accès initial aux réseaux d’entreprise avant de le revendre à d’autres acteurs criminels.

Cette mécanique a été associée à plusieurs familles de rançongiciels bien connues, parmi lesquelles LockBit, DoppelPaymer ou encore RansomHub. Une simple interaction avec une fausse mise à jour peut ainsi déboucher sur une compromission beaucoup plus large.

Plus de la moitié des entreprises observées exposées

Les données publiées par Infoblox montrent que la menace reste particulièrement répandue. Entre janvier et mai 2026, plus de 54 % des réseaux clients protégés par sa solution Threat Defense ont tenté de contacter au moins un domaine lié à SocGholish.

La plupart de ces connexions ont été bloquées avant toute infection. Toutefois, certains réseaux ont atteint une infrastructure plus avancée du dispositif, signe probable qu’un poste avait exécuté le programme malveillant. Parmi les cas identifiés figurent des organismes publics, des établissements hôteliers ainsi qu’une infrastructure critique.

L’analyse met aussi en évidence un comportement récurrent : l’activité augmente nettement en début de semaine puis disparaît presque totalement le week-end. Un constat qui reflète les habitudes de navigation des salariés sur les réseaux professionnels.

« SocGholish ne constitue pas une menace de niche. Ses activités atteignent en profondeur les environnements du secteur public et du secteur commercial », rappelle le Dr Renée Burton, vice-présidente d’Infoblox Threat Intel. Malgré les résultats obtenus par Operation Endgame, les spécialistes s’attendent désormais à observer les adaptations que pourraient mettre en œuvre les opérateurs liés à cette infrastructure.

Article basé sur un communiqué de presse reçu par la rédaction.