KRYBIT vs 0APT : quand deux groupes ransomware se hackent mutuellement

Les faits

Le monde souterrain de la cybercriminalité vient d'offrir aux équipes de threat intelligence un spectacle rare : deux groupes ransomware qui se font mutuellement la guerre, exposant au grand jour leurs infrastructures, leurs affiliés, leurs victimes et — pour l'un d'eux — la preuve que la totalité de ses activités revendiquées était fictive. L'affaire KRYBIT vs 0APT, qui s'est déroulée sur trois semaines en avril-mai 2026, constitue l'un des épisodes les plus révélateurs de l'écosystème ransomware depuis l'opération Endgame de 2024.

Le groupe KRYBIT est apparu sur les radars des analystes en mars 2026, proposant un kit RaaS (Ransomware-as-a-Service) ciblant les environnements Windows, Linux, ESXi et les systèmes NAS (Network-Attached Storage). Le modèle économique proposé aux affiliés est un partage 80/20 — 80 % pour l'affilié, 20 % pour les opérateurs. Au 12 avril 2026, KRYBIT avait enregistré 20 victimes actives dans son panneau d'administration, avec des données exfiltrées allant de 10 à 250 Go par victime et des rançons demandées entre 40 000 et 100 000 dollars. Les secteurs ciblés incluaient les services aux entreprises, l'éducation, la technologie et le manufacturing, avec des victimes documentées en Allemagne, Mexique, Turquie, Japon et Autriche.

Le week-end du 12 avril 2026, le groupe rival 0APT a publié sur son site de fuite ce qu'il présentait comme l'intégralité de la base de données de l'administration de KRYBIT : données des opérateurs principaux, comptes des cinq affiliés actifs, dossiers de négociation avec les victimes, tokens de chiffrement et un inventaire d'exfiltration de 56 mégaoctets. 0APT accompagnait cette publication d'une demande de rançon aux opérateurs de KRYBIT eux-mêmes : payez ou nous révélons l'identité de vos affiliés. Le message sur le dark web résumait le concept en termes sans ambiguïté : "Vous n'avez que deux jours."

KRYBIT a choisi de ne pas payer. La riposte a été rapide et dévastatrice. Dans les 48 heures suivant la publication de 0APT, KRYBIT a compromis l'infrastructure de son rival, défacé son site de fuite avec le message "Next time, don't play with the big boys", et publié à son tour l'intégralité du dataset opérationnel de 0APT : le code source PHP de leur panel, 998 lignes d'historique bash, 652 813 lignes de logs nginx, et les fichiers système Linux incluant /etc/passwd, /etc/shadow, /etc/gshadow, le nom d'hôte du serveur et la configuration nginx complète. L'exposition était totale et irréversible.

Mais la révélation la plus explosive de cet échange de hacks ne concernait pas KRYBIT — elle concernait 0APT. L'analyse des logs nginx publiés a démontré de manière irréfutable que les 190+ victimes revendiquées par 0APT depuis janvier 2026 étaient entièrement fabriquées. Aucune donnée n'avait jamais été exfiltrée d'aucune des organisations listées sur leur site de fuite. La "preuve" d'exfiltration affichée par 0APT pour chaque victime était générée artificiellement, sans aucune compromission réelle des systèmes mentionnés. Les organisations qui avaient payé une rançon à 0APT — si tant est qu'il y en ait eu — avaient payé pour récupérer des données que le groupe n'avait jamais réellement volées.

Plus embarrassant encore pour 0APT : l'analyse des logs système a révélé que l'infrastructure entière du groupe opérait depuis un téléphone Android (marque Droid) exécutant Parrot OS à partir d'une carte SD. L'ensemble du panneau d'administration d'un groupe qui avait terrorisé des équipes de sécurité pendant quatre mois tournait sur un appareil mobile de milieu de gamme avec un système d'exploitation installé sur support amovible. L'incident est entré dans les rapports du Bitdefender Threat Debrief de mai 2026 comme illustration de la "democratisation du ransomware" et des risques de surestimation de la menace basée uniquement sur les revendications des acteurs.

L'affaire a eu des répercussions immédiates sur plusieurs fronts. Côté KRYBIT, l'exposition de ses credentials affiliés en clair, de ses adresses Bitcoin et de ses dossiers de négociation constitue une manne pour les enquêteurs et les services de police internationale. Europol et le FBI ont été informés et des enquêtes seraient en cours pour identifier les opérateurs et affiliés KRYBIT à partir des données divulguées par 0APT, selon des sources proches du dossier citées par Infosecurity Magazine. Côté 0APT, la révélation des victimes fabriquées a définitivement détruit la crédibilité du groupe, qui a disparu des radars depuis la publication par KRYBIT de ses données internes.

Pour les équipes de threat intelligence et les RSSI, cette affaire livre plusieurs leçons pratiques. En premier lieu, les revendications des groupes ransomware sur leurs victimes doivent être traitées avec un scepticisme systématique : sans corroboration externe (confirmation de la victime, analyse de la fuite réelle, sources secondaires), une revendication sur un site de fuite ne prouve rien. En second lieu, l'écosystème RaaS est suffisamment fragmenté pour que des conflits internes génèrent des fuites d'information de grande valeur pour les défenseurs — les données opérationnelles KRYBIT exposées par 0APT constituent une source de renseignement sur les TTPs, les profils de victimes et les méthodes de négociation que les équipes CTI ont intérêt à analyser.

Impact et exposition

L'impact direct pour les organisations est double. D'une part, les victimes réelles de KRYBIT dont les données apparaissent dans le panneau divulgué doivent considérer que leurs informations de négociation — montants des rançons proposés, échanges d'emails, données techniques échangées — sont désormais potentiellement accessibles à d'autres acteurs malveillants, au-delà de KRYBIT lui-même. D'autre part, toute organisation listée parmi les 190+ "victimes" fictives de 0APT doit vérifier qu'elle n'a pas subi de pression ou de demandes de rançon basées sur ces fausses revendications — et peut désormais confirmer officiellement qu'il n'y a pas eu d'exfiltration réelle dans le cas de 0APT.

Recommandations

• Ne jamais payer une rançon sans vérification indépendante de l'exfiltration réelle — l'affaire 0APT démontre que des groupes peuvent revendiquer des compromissions fictives pour obtenir des paiements.
• Tracker les revendications ransomware sur votre organisation via les plateformes de surveillance dark web — des services comme Recorded Future, Flashpoint ou les alertes ransomware.live permettent une veille en temps réel.
• Intégrer les IoC KRYBIT dans vos SIEM et EDR — les données exposées par 0APT incluent des hashes, signatures et patterns d'exfiltration utilisés par KRYBIT contre ses victimes réelles.
• Signaler tout contact extorsif au CERT-FR et aux autorités — les investigations en cours sur KRYBIT s'appuient notamment sur les signalements de victimes potentielles.