Ces dernières années, les opérations de vol de cryptomonnaies ont considérablement évolué au-delà des pages de hameçonnage isolées et des fausses escroqueries de mint NFT. Ce qui était autrefois principalement constitué d'acteurs individuels gérant des pages malveillantes de connexion de portefeuille s'est de plus en plus développé en une économie de services souterraine structurée, construite autour de plateformes de « Drainer-as-a-Service » (DaaS). Contrairement aux opérations de malware traditionnelles, les drainers de cryptomonnaies s'appuient généralement sur l'ingénierie sociale plutôt que sur le compromis d'appareils. Les victimes sont attirées vers de faux sites web de cryptomonnaies, NFT, airdrops ou DeFi et invitées à connecter leurs portefeuilles. Une fois qu'une transaction malveillante ou une signature de portefeuille est approuvée, le drainer peut transférer des actifs en cryptomonnaies directement depuis le portefeuille de la victime, souvent en quelques secondes. Une analyse menée par les chercheurs de **Flare** sur environ 700 publications collectées sur des forums, chats et canaux souterrains liés au « Lucifer DaaS » entre janvier 2025 et début 2026, offre un aperçu rare du fonctionnement interne des opérations modernes de drainer. Les conclusions révèlent un écosystème de plus en plus professionnalisé axé sur la croissance des affiliés, l'automatisation, la scalabilité du hameçonnage, les contournements de la sécurité des portefeuilles et la résilience opérationnelle. Les données analysées suggèrent que les opérations modernes de drainer fonctionnent de plus en plus de manière similaire aux entreprises SaaS légitimes. Les acteurs derrière Lucifer ont discuté des versions logicielles, des corrections de bugs, des commissions d'affiliés, du support client, des recommandations d'hébergement, de l'automatisation du déploiement, du clonage de sites web et des systèmes de parrainage, offrant une analyse approfondie de l'évolution des écosystèmes DaaS au sein des communautés souterraines. ## Qu'est-ce qu'un Drainer et Comment Fonctionne-t-il Un drainer de cryptomonnaies est un outil conçu pour voler des actifs en cryptomonnaies directement depuis les portefeuilles des victimes en abusant des permissions du portefeuille et des approbations de transaction. Au lieu de pirater le portefeuille lui-même, les attaquants attirent généralement les victimes vers de faux sites web de cryptomonnaies, NFT, airdrops, DeFi ou de réclamation de tokens et les trompent pour qu'ils connectent leurs portefeuilles et approuvent des requêtes ou des signatures malveillantes. Une fois l'autorisation accordée, le drainer peut transférer automatiquement des tokens, des NFT ou d'autres actifs numériques du portefeuille de la victime vers des portefeuilles contrôlés par l'attaquant, souvent en quelques secondes et sur plusieurs blockchains.  ## Drainer-as-a-Service Dans ce modèle, l'opérateur développe et maintient l'infrastructure de drain, tandis que les affiliés apportent les victimes. Le travail de l'affilié consiste à générer du trafic par le biais de liens de hameçonnage, de faux sites web, de comptes de réseaux sociaux compromis, de publicités, de spam ou de messages directs. L'opérateur DaaS gère l'interaction avec le portefeuille, la logique de transaction, les alertes et le flux de drain d'actifs. Le jeu de données Lucifer montre clairement ce modèle. Dans une publication promotionnelle, l'acteur explique que les affiliés fournissent « du trafic via des liens de hameçonnage, de faux sites web et des méthodes similaires », tandis que le service gère « les signatures, les approbations et les transferts de tokens ». La même publication décrit le service comme étant basé sur des commissions et présente Lucifer Drainer comme une « solution professionnelle » avec prise en charge ERC20, Permit2, signatures hors chaîne, contournements de la sécurité des portefeuilles, prise en charge multichain et mises à jour continues du produit.  Ce langage est important. Les opérateurs ne vendent pas un kit de malware unique. Ils vendent une participation à une plateforme.  Leur chaîne Telegram renforce le même point. Lucifer indique à plusieurs reprises que le logiciel « n'est pas à vendre », et que les opérateurs prélèvent une commission de 20 % sur les « succès » réussis. En mai 2025, la chaîne indiquait qu'elle ne vendait ni ne louait le logiciel et ne partageait que « 20 % par succès ».  C'est plus proche du modèle d'affiliés de ransomware que des kits de hameçonnage à l'ancienne. Alors que les développeurs maintiennent le produit, les affiliés apportent le trafic pour monétiser l'opération et les profits sont partagés. ## Lucifer comme étude de cas La chaîne Lucifer montre une opération de drainer évoluant publiquement vers une plateforme DaaS structurée.  En mars 2025, le groupe a annoncé la version 6.6.6, faisant la publicité de la prise en charge ERC20, de l'abus de Permit2, des signatures hors chaîne, des notifications Telegram, des contournements de la sécurité des portefeuilles et des fonctionnalités multichain. La même annonce a de nouveau souligné que le logiciel n'était pas à vendre et que les opérateurs prélevaient une commission de 20 % sur les « succès » réussis. À partir de là, la chaîne a de plus en plus ressemblé à un flux de développement logiciel plutôt qu'à une opération de malware typique. Les opérateurs ont annoncé des corrections de bugs, des mises à jour de compatibilité des portefeuilles, la prise en charge de Telegram-browser, des améliorations de déploiement et des fonctionnalités d'hébergement. L'une des additions les plus notables a été une fonctionnalité de clonage de site web qui permettait aux affiliés de cloner des pages de hameçonnage et de recevoir des fichiers ZIP préchargés avec le dernier code Lucifer. Au fil du temps, l'opération s'est fortement orientée vers l'automatisation. Des mises à jour ultérieures ont introduit des flux de déploiement « Zero Config », permettant aux affiliés de télécharger des fichiers statiques, de générer automatiquement des packages prêts pour le hameçonnage et de déployer l'infrastructure avec un minimum de travail manuel. Cela a considérablement abaissé la barrière technique pour les affiliés.  Le jeu de données plus large montre également que Lucifer recrutait activement dans les communautés souterraines où d'autres marques de drainer telles qu'Inferno, Angel, Venom, Nova, Ghost, Medusa, Vega et Monkey étaient discutées. Un thème récurrent dans les publications était le « trafic ». Les opérateurs ont répété que les affiliés avaient besoin de victimes et de capacités de distribution de hameçonnage plus que de compétences techniques avancées. Cependant, le groupe a également averti que les débutants complets n'étaient pas les bienvenus, suggérant que les opérateurs privilégiaient les affiliés expérimentés capables de générer un trafic de hameçonnage fiable avec des frais d'exploitation limités. ## Résilience après les démantèlements Comme d'autres services souterrains, Lucifer montre également des signes de résilience opérationnelle. En août 2025, leurs bots Telegram ont été bannis, ils ont donc demandé aux utilisateurs sur leur chaîne de créer de nouveaux bots et de leur accorder des privilèges d'administrateur. Le groupe a également donné des instructions pour résoudre les problèmes de configuration après la migration. En novembre 2025, Lucifer a déclaré qu'un domaine de documentation hébergé sur **Google Firebase** avait été suspendu après des rapports de recherche. Le groupe a répondu en déplaçant la documentation vers **InterPlanetary File System (IPFS)** (un protocole de partage de fichiers décentralisé peer-to-peer utilisé pour stocker et distribuer des données), présentant la décentralisation comme un moyen de maintenir les opérations après les démantèlements. Cela reflète le comportement observé dans l'écosystème des drainers au sens large. La recherche de **Check Point** sur « Inferno Drainer » a décrit comment l'opération a continué à s'adapter malgré les avertissements des portefeuilles, les listes noires et les défenses anti-hameçonnage.  ## Pourquoi les Drainers sont devenus si attrayants pour les cybercriminels Les drainers sont devenus populaires car ils correspondent à la structure de la criminalité moderne en matière de cryptomonnaies. Les actifs en cryptomonnaies sont liquides, se déplacent rapidement et sont souvent irréversibles une fois transférés. Les attaquants n'ont pas besoin de compromettre un portail bancaire ni d'attendre un compte mule. Une approbation de portefeuille réussie peut immédiatement « drainer » les actifs. Ils bénéficient également de la maturité relative de la sécurité des cryptomonnaies par rapport à la finance traditionnelle. Alors que les plateformes DaaS comme Lucifer continuent d'évoluer, les professionnels de la sécurité et les utilisateurs de cryptomonnaies doivent rester vigilants face à ces menaces de plus en plus sophistiquées.