FreeDrain : l’opération fantôme qui siphonne les cryptos à l’échelle mondiale

SentinelLabs révèle une vaste campagne de hameçonnage sophistiquée qui vise spécifiquement les propriétaires et investisseurs en cryptomonnaies, mettant en lumière de nouvelles menaces pesant sur la sécurité des actifs numériques à l’échelle internationale

Une menace invisible qui s’étend à l’échelle mondiale

Dans le vaste univers des cryptomonnaies, une ombre inquiétante s’étend : FreeDrain. Ce réseau international de phishing vient d’être révélé au grand jour grâce aux efforts conjoints de SentinelLabs, la branche recherche de SentinelOne, et Validin, acteur majeur de l’intelligence Internet. Derrière une apparente discrétion, cette opération a dérobé, parfois en quelques minutes seulement, des actifs numériques pour des sommes dépassant plusieurs millions de dollars.

Des techniques redoutables pour tromper les utilisateurs

Les cybercriminels ne manquent pas d’imagination : FreeDrain mise sur un arsenal sophistiqué mêlant SEO malveillant, utilisation intensive de services web gratuits (gitbook.io, github.io…), et redirections multi-niveaux. Leur méthode cible les détenteurs de portefeuilles crypto lors de simples recherches en ligne. La victime cherche une information légitime ; elle tombe sur une page semblant officielle puis bascule, sans méfiance, sur un site frauduleux reproduisant l’interface familière d’un portefeuille tel que Trezor, MetaMask ou Ledger. Une fois la seed phrase renseignée – ce mot de passe maître –, le siphonnage automatisé des fonds débute sans délai.

L’ampleur du phénomène documentée par les chercheurs

Cette investigation est née d’un signalement dramatique : un utilisateur contactait Validin après avoir perdu l’équivalent de 500 000 dollars en bitcoins. L’enquête a permis de mesurer l’ampleur du dispositif FreeDrain. Plusieurs éléments expliquent l’exceptionnelle efficacité du réseau :

• 38 000 pages malveillantes distinctes, disséminées à travers le monde ;
• plus de 200 000 URLs piégées recensées dans diverses campagnes SEO ;
• une équipe organisant ses activités selon des horaires classiques en UTC+05:30, laissant supposer une base en Inde ;
• des attaques relayées via Google ou Bing, profitant parfois même d’infrastructures cloud reconnues comme Amazon S3 ou Azure.

L’urgence d’une riposte coordonnée face à FreeDrain

À mesure que se dévoile la complexité de cette fraude massive, la réaction du secteur devient cruciale. Les auteurs du rapport appellent non seulement les plateformes crypto mais aussi les fournisseurs d’hébergement et moteurs de recherche à renforcer leurs défenses. Face à « une nouvelle génération de menaces numériques : invisibles, décentralisées, mais redoutablement efficaces », selon Tom Hegel (SentinelLabs), le moindre retard met directement en cause la confiance dans les services numériques – même parmi les plus réputés.

Face à ce constat alarmant, il devient essentiel d’informer davantage les utilisateurs et d’orchestrer une collaboration internationale entre tous les acteurs concernés. Sans cela, difficile d’imaginer endiguer cette vague souterraine qui cible sans relâche l’écosystème crypto mondial.