WeedHack infecte 116 000 Minecraft avec un MaaS à 5€/mois

Les faits

Le 3 juin 2026, les chercheurs de McAfee ont publié une analyse détaillée de WeedHack, une opération de Malware-as-a-Service (MaaS) ciblant spécifiquement la communauté des joueurs Minecraft. Depuis janvier 2026, cette plateforme criminelle a infecté 116 464 systèmes selon la télémétrie McAfee, avec un rythme soutenu de 2 000 à 3 000 nouvelles infections quotidiennes. WeedHack illustre l'industrialisation avancée de la cybercriminalité : infrastructure professionnelle, modèle économique par abonnement, surface d'attaque ciblée et tableau de bord client soigné — le tout accessible à n'importe quel acteur malveillant sans compétence technique particulière.

Le vecteur de distribution est sophistiqué et multicouche. WeedHack se propage via de fausses vidéos YouTube présentant des « mods exclusifs », des « cheats gratuits » ou des « clients optimisés » pour Minecraft. Ces vidéos sont positionnées en tête des résultats de recherche grâce à des techniques de SEO poisoning — manipulation des signaux de référencement (backlinks artificiels, métadonnées optimisées, vues gonflées) pour faire remonter des contenus malveillants devant les résultats légitimes. Des sites miroirs imitent fidèlement les portails officiels de téléchargement de mods Minecraft. McAfee a identifié plus de 3 820 fichiers JAR malveillants uniques et plus de 240 URLs actives utilisées pour distribuer le malware.

Le modèle économique de WeedHack est celui d'un SaaS criminel parfaitement rodé. Un tier gratuit permet de voler les Session ID Minecraft, les cookies de session actifs et les mots de passe sauvegardés dans 36 navigateurs différents. Un tier premium à 5 $/mois — ou 24,99 $ en achat unique à vie — débloque des fonctionnalités de RAT (Remote Access Trojan) complet : contrôle à distance avec accès clavier et souris, accès webcam, keylogger en temps réel, shell distant interactif et gestion complète des fichiers à distance. Les clients du service disposent d'un tableau de bord professionnel pour visualiser les credentials volés et gérer les machines compromises.

Le périmètre de vol d'informations est très large. WeedHack cible les identifiants pour 36 navigateurs web (Chrome, Firefox, Edge, Brave et leurs variantes), les extensions de portefeuilles cryptomonnaies pour 56 solutions différentes, 12 applications desktop de gestion de crypto-wallets, les tokens Discord (permettant l'accès permanent au compte sans mot de passe), les sessions Steam (y compris les items de jeu monnayables) et les sessions Telegram. La priorité accordée aux actifs crypto dans le ciblage reflète une motivation financière directe : le vol de cryptomonnaies est instantanément monnayable sans intermédiaire.

Géographiquement, McAfee note que les États-Unis constituent le premier pays affecté, suivis par l'Allemagne, l'Inde, le Royaume-Uni et l'Italie. La France n'apparaît pas dans le top 5 publié, mais la présence de serveurs Minecraft francophones importants et la taille de la communauté (plusieurs millions de joueurs actifs) font de WeedHack une menace concrète pour les utilisateurs français. Les pics d'infection correspondent aux week-ends et aux vacances scolaires — périodes pendant lesquelles les jeunes joueurs sont plus actifs et téléchargent davantage de mods.

WeedHack s'inscrit dans une tendance documentée depuis 2023 de ciblage systématique des communautés gaming comme vecteur d'attaque. Les joueurs présentent plusieurs caractéristiques attrayantes pour les cybercriminels : habitude de télécharger des exécutables non signés (mods, cheats, launchers alternatifs), confiance accordée aux recommandations des pairs et aux créateurs de contenu YouTube, présence fréquente de crypto-wallets, et dans le cas de Minecraft, une culture du modding qui normalise le téléchargement de fichiers JAR depuis des sources tierces.

La distribution sous forme de fichiers JAR (Java Archive) est une technique efficace pour contourner la méfiance instinctive envers les fichiers .exe. Les JARs sont perçus comme moins dangereux, associés à l'environnement ouvert de Minecraft. En réalité, un fichier JAR malveillant exécuté dans le contexte de la JVM Minecraft dispose d'un accès au réseau et au système de fichiers. Par des techniques de réflexion Java et de chargement dynamique de bibliothèques natives, WeedHack accède à des fonctionnalités système de bas niveau.

La tarification agressive de WeedHack — 5 $/mois ou 24,99 $ à vie pour des capacités RAT complètes — abaisse drastiquement la barrière à l'entrée dans la cybercriminalité. Des acteurs sans compétences techniques peuvent accéder à des dizaines de machines compromises sans comprendre le moindre mécanisme d'infection. Selon les données de BlackFog publiées en 2026, le nombre d'acteurs utilisant des plateformes MaaS a augmenté de 34 % entre 2024 et 2026, tiré par l'effondrement des prix de ce type de service.

Impact et exposition

WeedHack cible principalement les particuliers et les familles ayant des enfants ou adolescents jouant à Minecraft. L'impact direct est le vol de credentials et d'actifs numériques. Le risque secondaire, souvent sous-estimé : si le système infecté est également utilisé pour le télétravail, les credentials professionnels peuvent être exfiltrés. Les organisations appliquant des politiques BYOD sans MDM robuste sont exposées à ce vecteur indirect.

Recommandations

• Télécharger exclusivement des mods Minecraft via CurseForge ou Modrinth — les deux dépôts officiels qui vérifient les fichiers soumis
• Scanner tout fichier JAR téléchargé hors des dépôts officiels avec un antivirus à jour avant exécution
• Activer l'authentification à deux facteurs sur les comptes Minecraft, Discord, Steam et tous les exchanges de cryptomonnaies
• Vérifier régulièrement les sessions actives sur Discord (Paramètres > Confidentialité et sécurité) et Steam — révoquer les sessions inconnues
• Pour les entreprises avec politique BYOD : implémenter un MDM et interdire l'exécution de JARs non signés sur les appareils accédant aux ressources corporate