KMSAuto : fin de partie pour le pirate qui a piégé 2,8 millions d’utilisateurs avec un malware
Un Lituanien de 29 ans vient d'être extradé vers la Corée du Sud. La raison ? Il est accusé d'avoir dissimulé un malware dans une version modifiée du logiciel d'activation Windows KMSAuto, dans le but de détourner des transactions crypto.
KMSAuto au service du vol de cryptomonnaies
KMSAuto est un outil populaire permettant d'activer illégalement Windows et Office, sans devoir acheter une licence officielle. Cependant, ce pirate a eu l'idée de distribuer une version modifiée et infectée par un malware. Sa version ne se contentait pas d'activer des produits Microsoft : elle installait un logiciel malveillant de type "clipper".
Une fois installé sur la machine de la victime par l'intermédiaire de KMSAuto, le malware surveillait en permanence le contenu du presse-papiers de Windows. Il attendait sagement la présence d'une chaîne de caractères correspondant à une adresse de portefeuille de cryptomonnaie. Et hop, quand une adresse était détectée, il la remplaçait par son adresse : l'utilisateur, pensant coller l'adresse de son destinataire, envoyait en réalité ses fonds directement au pirate.
Selon l'Agence nationale de la police coréenne : "D'avril 2020 à janvier 2023, le hacker a distribué 2,8 millions de copies dans le monde entier d'un logiciel malveillant déguisé en programme d'activation de licence Windows illégal (KMSAuto)."
Ainsi, grâce à cette version infectée de KMSAuto, le pirate aurait détourné environ 1,7 milliard de wons (soit 1,2 million de dollars) grâce à plus de 8 400 transactions frauduleuses, affectant les portefeuilles de 3 100 victimes.
Une traque internationale pour le débusquer
Une enquête a été lancée en août 2020, suite au signalement d'une victime ayant constaté que ses paiements en cryptomonnaies étaient systématiquement redirigés vers une adresse inconnue. Grâce aux investigations menées, les enquêteurs ont pu découvrir que le malware intégré à KMSAuto ciblait les adresses d'au moins six plateformes d'échange de cryptomonnaies.
La coopération internationale, sous la coordination d'Interpol, a permis de localiser le suspect en Europe. Même s'il a été extradé de la Géorgie vers la Corée du Sud très récemment, les actions sur le terrain sont en cours depuis l'année dernière :
- Décembre 2024 : une perquisition a lieu en Lituanie. Les autorités saisissent 22 objets, dont des ordinateurs portables et des téléphones mobiles.
- Avril 2025 : l'analyse du matériel saisi fournit des preuves incriminantes nécessaires, menant à l'arrestation du pirate alors qu'il voyageait de la Lituanie vers la Géorgie.
Au-delà de l'impact financier sur les victimes, cette affaire rappelle - une nouvelle fois - que les outils de type "cracks", "keygens", ou autres activateurs sont des vecteurs privilégiés pour la diffusion de malwares.
Image d'illustration générée par IA.
