Un ressortissant yéménite est accusé d’avoir orchestré une vaste campagne de cyberattaques avec le rançongiciel Black Kingdom, ciblant écoles, cliniques et entreprises aux États-Unis, depuis le Yémen.
Le ministère américain de la Justice a levé le voile sur un nouvel épisode inquiétant de la cyberguerre mondiale. Le 2 mai 2025, les autorités américaines ont annoncé l’inculpation de Rami Khaled Ahmed, un Yéménite de 36 ans, accusé d’avoir dirigé une campagne d’attaques informatiques via le ransomware Black Kingdom entre mars 2021 et juin 2023. Depuis Sanaa, la capitale du Yémen, Ahmed aurait mené une série d’opérations visant à extorquer des sommes en cryptomonnaie en paralysant des réseaux informatiques critiques, notamment dans les domaines de la santé, de l’éducation et des services aux entreprises. Cette affaire, révélée dans un contexte de répression renforcée contre les cybercriminels à l’échelle internationale, soulève de nombreuses questions sur la coordination de la lutte contre la cybercriminalité, les failles persistantes dans les infrastructures numériques et les limites de la souveraineté judiciaire face à des menaces transnationales.
D’après l’acte d’accusation rendu public par le Département de la Justice américain (DoJ), Rami Khaled Ahmed aurait exploité une faille de sécurité critique baptisée ProxyLogon, découverte dans les serveurs Microsoft Exchange début 2021. Cette vulnérabilité, qui permet à un pirate de prendre le contrôle total d’un serveur sans authentification préalable, a été rapidement exploitée par de nombreux groupes malveillants à travers le monde. Dans le cas du Yéménite, elle aurait permis l’installation du ransomware Black Kingdom sur environ 1 500 systèmes informatiques, principalement aux États-Unis mais aussi dans d’autres pays.
Parmi les cibles confirmées figurent une entreprise de services de facturation médicale à Encino, une station de ski dans l’Oregon, un district scolaire en Pennsylvanie et une clinique de santé dans le Wisconsin. Après avoir pénétré les réseaux, le malware procédait au chiffrement des données sensibles, empêchant tout accès pour les utilisateurs légitimes. Une note de rançon apparaissait ensuite sur les écrans des victimes, les invitant à transférer 10 000 dollars (environ 9 300 euros) en bitcoins à une adresse contrôlée par un complice. Un canal de communication par e-mail permettait aux victimes de prouver le paiement et de recevoir, potentiellement, une clé de déchiffrement.
« Black Kingdom est l’une des premières familles de ransomwares à avoir exploité ProxyLogon. Elle a marqué une étape dans la sophistication des attaques contre les systèmes Exchange Server« , a expliqué Microsoft dans une analyse publiée fin mars 2021.
Connue également sous le nom de Pydomer, la famille de ransomwares Black Kingdom n’est pas nouvelle dans le paysage des menaces cyber. Elle avait déjà été repérée dans des attaques utilisant une autre faille de sécurité majeure : celle du VPN Pulse Secure, référencée CVE-2019-11510. Ces vulnérabilités, connues et documentées, n’en restent pas moins redoutables, notamment lorsque les correctifs ne sont pas appliqués à temps par les administrateurs système.
Si Rami Khaled Ahmed est reconnu coupable, il risque une peine pouvant aller jusqu’à 15 ans de prison fédérale aux États-Unis, soit cinq ans pour chacun des trois chefs d’accusation retenus contre lui : complot, dommage intentionnel à un ordinateur protégé, et menaces de dommage à un ordinateur protégé. Cependant, l’accusé réside toujours au Yémen, pays avec lequel les États-Unis n’ont pas de traité d’extradition en vigueur. Son arrestation dépendra donc de l’évolution des relations diplomatiques et sécuritaires dans la région.
Cette inculpation n’est pas un cas isolé. Elle s’inscrit dans une vague plus large d’actions coordonnées menées par les autorités américaines pour lutter contre la cybercriminalité transnationale. Ces derniers mois, plusieurs arrestations ont été annoncées, illustrant la diversité et l’internationalisation des menaces numériques.
Parmi elles, celle d’Artem Stryzhak, un Ukrainien arrêté en Espagne en juin 2024, affilié au ransomware Nefilim. Extradé vers les États-Unis le 30 avril 2025, il est accusé d’avoir mené des cyberattaques depuis 2021, avec à la clé des demandes de rançon similaires à celles de Black Kingdom. Son procès pourrait également se solder par une peine de cinq ans de prison fédérale.
Dans un autre dossier très médiatisé, Tyler Robert Buchanan, citoyen britannique soupçonné d’appartenir au groupe Scattered Spider, a également été extradé depuis l’Espagne. Il fait face à des accusations de fraude électronique et d’usurpation d’identité, deux infractions couramment associées aux campagnes de phishing et aux compromissions de comptes à grande échelle.
Plus troublant encore : certaines ramifications de ces affaires convergent vers des réseaux aux pratiques encore plus sinistres.
Les noms de Leonidas Varagiannis, alias War, et de Prasan Nepal, alias Trippy, tous deux âgés d’à peine 20 ans, ont fait surface dans un scandale d’envergure. Les deux hommes, décrits comme les chefs du groupe 764, sont accusés d’avoir organisé la diffusion de contenus pédopornographiques en exploitant au moins huit mineurs. Leur groupe, 764, est affilié à une constellation de collectifs criminels appelés The Com, dont ferait également partie Scattered Spider. L’un des membres, Richard Anthony Reyna Densmore, a déjà été condamné à 30 ans de réclusion aux États-Unis en novembre 2024 pour exploitation sexuelle d’enfants.
Ces accusations interviennent dans le contexte d’une série d’annonces des autorités gouvernementales américaines contre diverses activités criminelles.
Le ministère de la Justice a rendu public un acte d’accusation accusant le citoyen ukrainien Artem Stryzhak d’avoir attaqué des entreprises à l’aide du ransomware Nefilim depuis qu’il est devenu affilié en juin 2021. Il a été arrêté en Espagne en juin 2024 et extradé vers les États-Unis le 30 avril 2025. S’il est reconnu coupable de cette accusation, Stryzhak risque jusqu’à cinq ans d’emprisonnement.
Tyler Robert Buchanan, un ressortissant britannique soupçonné d’appartenir au célèbre groupe de cybercriminalité Scattered Spider, a été extradé d’Espagne vers les États-Unis pour répondre à des accusations de fraude électronique et d’usurpation d’identité aggravée. Buchanan a été arrêté en Espagne en juin 2024. Les accusations portées contre lui et d’autres membres de Scattered Spider ont été annoncées par les États-Unis en novembre 2024.
Leonidas Varagiannis (alias War), 21 ans, et Prasan Nepal (alias Trippy), 20 ans, les deux chefs présumés du groupe d’extorsion d’enfants 764, ont été arrêtés et accusés d’avoir dirigé et diffusé du matériel pédopornographique. Les deux hommes sont accusés d’avoir exploité au moins huit victimes mineures.
Richard Anthony Reyna Densmore, un autre membre du 764, a été condamné à 30 ans de prison aux États-Unis en novembre 2024 pour exploitation sexuelle d’un enfant. Les membres du 764 sont affiliés à The Com , un ensemble hétéroclite de groupes aux liens étroits qui commettent des crimes sexuels et violents à motivation financière. Scattered Spider fait également partie de ce groupe.
Le Réseau de lutte contre la criminalité financière (FinCEN) du Département du Trésor américain a désigné le conglomérat cambodgien HuiOne Group comme une « institution particulièrement préoccupante en matière de blanchiment d’argent » pour les réseaux transnationaux de cybercriminalité d’Asie du Sud-Est, car il facilite les escroqueries amoureuses et sert de plaque tournante essentielle au blanchiment des produits des cyberattaques perpétrées par la République populaire démocratique de Corée (RPDC). La licence bancaire de HuiOne Pay a été révoquée en mars 2025 par la Banque nationale du Cambodge.
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.
