Les autorités européennes ont porté un coup substantiel à l'écosystème de la cybercriminalité avec la perturbation d'**AudiA6**, un service sophistiqué de blanchiment de cryptomonnaies. **Europol** a annoncé que l'opération a effectivement coupé un "pipeline financier clé" qui avait été utilisé pour blanchir des centaines de millions de profits illicites. Depuis sa création en 2021, **AudiA6** aurait blanchi plus de 336 millions d'euros (environ 389 millions de dollars). La plateforme était devenue un centre névralgique pour les acteurs du ransomware et d'autres cybercriminels cherchant à encaisser des actifs numériques volés tout en dissimulant méticuleusement la piste de l'argent auprès des forces de l'ordre. ### Connexion Dark2Web Les enquêteurs soupçonnent que les opérateurs d'**AudiA6** géraient également **Dark2Web**, un forum de cybercriminalité sur le dark web. Ce forum servait de marché où les cybercriminels faisaient la publicité de services illicites et forgeaient des liens avec d'autres acteurs de la menace à l'échelle mondiale.  ### Action Coordonnée des Forces de l'Ordre L'opération, exécutée le 10 juin 2026, a impliqué une série d'actions coordonnées dans plusieurs juridictions : * Deux administrateurs présumés, identifiés comme des ressortissants ukrainiens et russes, ont été arrêtés en Géorgie. * Trois propriétés ont été perquisitionnées. * 25 domaines ont été démantelés et plus de 30 serveurs ont été saisis. * Plus de 80 véhicules et plusieurs propriétés en Géorgie ont été saisis. * Des actifs en cryptomonnaies d'une valeur de 692 000 € (798 000 $) ont été gelés, et 86 000 € (99 400 $) supplémentaires en cryptomonnaies ont été saisis. * Les comptes Telegram utilisés par le réseau ont été bloqués. * Les sites web d'**AudiA6** et de **Dark2Web**, accessibles sur le clear web et le dark web, ont été remplacés par des bannières de saisie par les forces de l'ordre. ### Accusations et mises en examen américaines Parallèlement aux efforts européens, le **U.S. Department of Justice (DoJ)** a annoncé des accusations contre les deux individus arrêtés : **Ruslan Igorevich Tkachuk**, 37 ans, et **Alexander Vladimirovich Ledenev**, 25 ans. Ils font face à une accusation de complot en vue de blanchir des instruments monétaires et une accusation de blanchiment d'argent sous couverture. En cas de condamnation, les deux individus pourraient encourir une peine maximale de 20 ans de prison. Le **DoJ** a déclaré que sur environ 10 333 Bitcoin déposés sur **AudiA6**, environ 393,39 BTC (d'une valeur d'environ 19 234 331 $ au moment des transactions) ont été directement reçus de marchés du darknet connus, d'organisations de ransomware, de services de cybercriminalité et d'autres sources illicites. Des fonds supplémentaires ont été déposés indirectement de sources illicites sur les portefeuilles d'**AudiA6**. ### Avancées de l'enquête **Europol** a indiqué que la percée dans cette affaire provenait d'une action antérieure des forces de l'ordre polonaises en septembre 2025. Cela a conduit à l'arrestation d'un ressortissant ukrainien impliqué dans des activités de blanchiment d'argent liées au groupe **AudiA6**. L'examen médico-légal des appareils électroniques saisis de ce suspect a permis aux autorités d'identifier d'autres personnes liées à l'opération. ### Blanchiment à l'échelle industrielle **AudiA6** a fonctionné comme un service de blanchiment de cryptomonnaies à l'échelle industrielle, exploitant des milliers de comptes d'échange frauduleux ouverts à l'aide d'identités volées ou achetées. Le service criminel a été impliqué dans plus de 15 enquêtes mondiales concernant des attaques par ransomware et des vols de cryptomonnaies à grande échelle. Avant son démantèlement, **AudiA6** était commercialisé comme un service de mélange (mixing service) qui promettait anonymat et rapidité. Les clients pouvaient transférer leurs gains illicites vers des portefeuilles contrôlés par le groupe et recevoir des fonds "nettoyés" en moins d'une heure grâce à une "chaîne complexe de transactions" conçue pour dissimuler la source originale de l'argent. Les opérateurs facturaient des commissions allant de 3 à 10 %, les transactions étant souvent effectuées via des plateformes de messagerie privée. ### Mules de blanchiment et techniques d'obfuscation Au cours de l'enquête, plus de 6 000 enregistrements Know Your Customer (KYC) liés à des comptes de mules de blanchiment ont été identifiés. Bon nombre de ces comptes étaient connectés à des intermédiaires russophones spécifiquement recrutés pour faciliter le mouvement des produits criminels à travers diverses plateformes d'échange de cryptomonnaies. **AudiA6** utilisait également un mélange de fournisseurs de messagerie commerciaux et d'adresses électroniques liées à des domaines sous leur contrôle pour enregistrer ces comptes de mules de blanchiment auprès des plateformes d'échange de cryptomonnaies. Les domaines comprenaient : * designli.pictures * pheontx.eu * smplfy.in * sumato-soft.org * technobrains.dev * lett.email * trayo.app * deliverly.top * inboxly.top * postfast.eu * postino.click * inboxally.agency * mailora.eu * postify.email * quix.express * flowcomm.click * qube.black * deliverlett.com * lettermail.eu Des rapports antérieurs de sociétés de sécurité comme **Intel 471** en novembre 2021 notaient qu'**AudiA6** exigeait un solde minimum de 27 Bitcoin et facturait des frais de service entre 3 % et 5,5 %. Plus récemment, une analyse de **TRM Labs** en décembre 2025 a révélé que les fonds volés lors du piratage de **LastPass** en 2022 avaient transité par **Cryptex** et **AudiA6**. Cette enquête approfondie a impliqué le **United States Secret Service**, l'**IRS Criminal Investigation**, la police polonaise et des partenaires des forces de l'ordre d'Australie, du Canada, de France, de Géorgie, d'Allemagne, d'Islande, du Japon, de Suisse et du Royaume-Uni. ### Le paysage évolutif des menaces Les conclusions soulignent la prévalence croissante des services de blanchiment de cryptomonnaies à l'échelle industrielle qui sous-tendent l'économie de la cybercriminalité. Ces opérations s'appuient sur des comptes d'échange frauduleux, des portefeuilles de mules et des outils axés sur la confidentialité pour masquer les pistes d'argent et contourner les contrôles anti-blanchiment. **Europol** a averti que "les groupes de ransomware et les réseaux cybercriminels s'appuient de plus en plus sur le 'chain-hopping', les échanges décentralisés et les plateformes de 'mixer-as-a-service' pour déplacer les cryptomonnaies illicites sur plusieurs blockchains en quelques minutes, aidant ainsi les profits criminels à disparaître dans le sous-sol numérique."