Au cours de l’année 2025, le paysage cybercriminel a continué de se transformer, fonctionnant aujourd’hui en partie comme une économie de service, structurée et efficiente. L’émergence des modèles As-a-service traduit la mue d’un ensemble anarchique d’acteurs en un écosystème dans lequel chaque maillon s’est spécialisé, professionnalisé et intégré à une chaîne de valeur, rappelle Lucien Chaya Podeur, expert en cybersécurité chez XMCO.
Ce modèle s’appuie désormais sur une organisation industrielle distribuée, chaque acteur représentant une fonction essentielle du système. Ensemble, ils forment un réseau d’interdépendances : développeurs de malware, courtiers en accès initiaux et plateformes proposant des kits as-a-service assumant chacun une fonction spécifique au cours d’une compromission.
Le modèle as-a-service : la transformation du cybercrime en une industrie résiliente
Le modèle as-a-service s’appuie sur un ensemble d’acteurs spécialisés dans la fourniture d’infrastructures essentielles, parmi lesquels les plateformes cloud légitimes, de plus en plus exploitées pour héberger des serveurs de commande et de contrôle (C2), ainsi que les hébergeurs bulletproof, les fournisseurs de VPN résidentiels et les services de messagerie chiffrée.
À titre d‘exemple, Aeza Group, entreprise russe basée à Saint-Pétersbourg constitue l’un de ces hébergeurs sanctionnés par les États-Unis en juillet 2025 pour avoir fourni des services d’hébergement opaques à des cybercriminels. Ces derniers incluent le groupe BianLian spécialisé dans l’utilisation de ransomware, les opérateurs des infostealers RedLine Stealer et Lumma Stealer dédiés au vol d’identifiants, ainsi que des opérations de désinformation telles que Doppelgänger, attribuées à des acteurs russes. Cette configuration assure aux acteurs malveillants une résilience opérationnelle, les hébergeurs ignorant systématiquement les injonctions des autorités compétentes.
Au-delà de l’hébergement, les principes du modèle as-a-service se retrouvent également dans la conception et la commercialisation d’outils malveillants. Les plateformes de Malware-as-a-Service (MaaS) fonctionnent sur un modèle d’abonnement ou de commission : les développeurs de malware conçoivent et mettent à jour leurs produits tandis que les affiliés les déploient, les gains étant partagés a posteriori.
Le développement et la diffusion de malware, autrefois réservés à une minorité d’acteurs spécialisés, se sont profondément banalisés au sein de l’écosystème actuel. Il est désormais possible pour des cybercriminels aux capacités techniques limitées de sous-traiter la quasi-totalité de la chaîne opérationnelle. Cette délégation peut prendre plusieurs formes : l’achat d’un accès initial auprès de courtiers spécialisés, la location d’infrastructures automatisées facilitant la mise en œuvre d’attaques, ou encore le recours à des offres de ransomware « clef en main ».
Conçues sur le modèle des plateformes légitimes, ces offres fournissent une interface de gestion, des mises à jour régulières et une assistance technique complète. Cette constellation d’acteurs forme un écosystème multinodal, où la redondance des rôles empêche l’effondrement du système. La suppression d’une place de marché illégale ne provoque qu’une perturbation temporaire dans l’écosystème criminel : très rapidement, une autre plateforme émerge pour capter l’ensemble de la clientèle et des vendeurs laissés sans interlocuteur.
Cartelisation des collectifs de ransomware
L’année 2025 voit se renforcer une dynamique de cartelisation des collectifs de ransomware, marquée par l’émergence continue de nouveaux programmes de Ransomware-as-a-Service (RaaS) structurés comme de véritables produits. C’est notamment le cas de ShinySp1d3r, dévoilé en novembre 2025 et développé en continu depuis par les groupes ShinyHunters, LAPSUS$ et Scattered Spider réunis sous la bannière Scattered LAPSUS$ Hunters.
Ce collectif émerge à l’été 2025 comme une alliance structurée, chaque membre apportant une expertise distincte : Scattered Spider est spécialisé dans l’obtention d’accès initiaux par ingénierie sociale, LAPSUS$ s’est fait connaître par son utilisation extrêmement efficace des techniques de Sim-Swapping et de contournement MFA, tandis que ShinyHunters alimente le collectif par sa capacité à exfiltrer et monétiser massivement les données sur les forums clandestins.
À partir d’août 2025, le canal Telegram shinysp1d3r / SLSH devient la vitrine de leur activité criminelle, d’abord comme hub d’extorsion tirant parti de chiffreurs tiers (ALPHV/BlackCat, Qilin, RansomHub, DragonForce), puis, à l’automne 2025, comme opérateur RaaS à part entière avec le lancement du rançongiciel ShinySp1d3r. Cette évolution illustre le passage d’une consommation opportuniste d’outils tiers à une logique d’intégration verticale, fondée sur le développement interne d’outils sophistiqués et la construction d’une marque RaaS disposant de son propre chiffreur, de capacités avancées de propagation et d’un cadre « éthique » revendiqué pour encadrer les affiliés.
Cette industrialisation s’accompagne d’un mouvement de « cartelisation distribuée » des écosystèmes de ransomware, où des collectifs nouent des alliances souples, partagent ressources et affiliés et renforcent par là même leurs capacités d’attaques. Cette dynamique se manifeste à travers deux formes complémentaires de consolidation. La première, illustrée par DragonForce, LockBit ou Qilin, repose sur des alliances opportunistes entre écosystèmes RaaS déjà structurés, qui mutualisent notoriété, infrastructures et canaux de fuite pour accroître la pression sur les victimes et consolider leur position dominante.
La seconde, incarnée par des collectifs comme Scattered Spider, LAPSUS$, ShinyHunters, tous issus de la même communauté nommée The Com, traduit une approche plus fluide et adaptative, centrée sur des spécialistes de l’intrusion et de l’ingénierie sociale se greffant successivement à différents programmes RaaS selon les opportunités [33]. Ensemble, ces configurations brouillent les frontières entre les groupes, favorisent la circulation des affiliés d’un label à l’autre et déplacent le rapport de force dans un écosystème interconnecté, où une coordination informelle suffit à maintenir un niveau de menace élevé en dépit des opérations de lutte contre le cybercrime menée cette année. Ce fonctionnement est analysé dans le panorama ransomware 2025, qui illustre à la fois la résilience de l’écosystème ransomware et le jeu complexe entre coopération et rivalités internes.
