Top stealers Q2 2026 : les familles d'infostealers les plus actives au deuxième trimestre

Le deuxième trimestre 2026 marque une recomposition notable de l’écosystème des infostealers. Un an après le démantèlement coordonné de LummaC2 par Microsoft, Europol et le Department of Justice américain en mai 2025, le paysage continue de s’adapter : nouveaux entrants, mises à jour techniques, déplacement des canaux de distribution. Ce rapport trimestriel synthétise les tendances que nous observons chez Stealed sur les sources que nous surveillons (canaux Telegram privés, forums underground, marchés dark web) et les met en perspective avec les analyses publiques de référence parues sur la période.

Q2 2026 en bref. LummaC2 conserve une activité résiduelle malgré l’opération de mai 2025. Acreed, Stealc V2 et Vidar captent une part croissante des logs frais. RedLine poursuit son déclin. ClickFix s’impose comme l’un des vecteurs d’infection les plus visibles. Les access brokers professionnalisent le passage des identifiants volés vers les opérateurs ransomware.

Ce rapport s’adresse aux RSSI, analystes SOC et équipes CTI qui cartographient leur exposition aux familles de stealers actives et adaptent en continu leurs priorités de détection.

Méthodologie : ce que nous mesurons

Stealed surveille en continu plus de 100 millions d’identifiants compromis par jour issus de logs d’infostealers, en couvrant trois grandes catégories de sources : les canaux Telegram privés et publics où les opérateurs publient et revendent les logs, les forums cybercriminels russophones et anglophones (XSS, Exploit, BreachForums et leurs successeurs), et les marketplaces underground qui agrègent des logs frais. Cette couverture inclut les sources non indexées par les services basés sur les seules brèches publiques, ce qui est essentiel pour les familles d’infostealers dont le cycle de vie commercial passe quasi exclusivement par Telegram et les marchés privés.

Pour chaque log collecté, la plateforme extrait les identifiants, les domaines compromis, les empreintes machine (HWID) et les métadonnées caractéristiques de la famille de stealer (structure du log, format du fichier d’archive, conventions de nommage des dossiers, présence de fichiers de configuration spécifiques). L’attribution à une famille repose sur ces signatures, complétées par les analyses techniques publiques (Sekoia, Zscaler, Microsoft Threat Intelligence, Recorded Future, Flashpoint) qui documentent les évolutions de chaque famille.

La période couverte par ce rapport est le deuxième trimestre 2026, soit avril à juin 2026. Les chiffres précis qui apparaissent dans le texte renvoient à des sources publiques explicitement citées ; les énoncés non chiffrés reflètent des observations qualitatives issues de notre télémétrie.

Pour le rapport mensuel précédent et la base méthodologique, voir le rapport menaces infostealers de mars 2026.

Vue d’ensemble Q2 2026 : un paysage en recomposition

Le Q2 2026 prolonge une tendance de fond confirmée par plusieurs rapports publics. L’ENISA Threat Landscape 2025, publié en octobre 2025 sur la période juillet 2024 à juin 2025, classe les infostealers comme l’un des vecteurs les plus prévalents et désigne Lumma comme l’infostealer le plus répandu sur cette fenêtre. Le rapport relève également que la combinaison ransomware, banking trojans et infostealers représente 87,3 % des intrusions étudiées, et que le vol d’identifiants à proprement parler a contribué à 8,9 % des intrusions enregistrées.

Ces chiffres sont confirmés par d’autres sources de référence. Le Verizon Data Breach Investigations Report 2025 indique que les identifiants compromis ont constitué le vecteur d’accès initial dans 22 % des brèches étudiées, devant le phishing à 16 %, et que 54 % des victimes de ransomware avaient des identifiants préalablement exposés dans des logs d’infostealers, dont 40 % contenaient des adresses email professionnelles. L’IBM X-Force Threat Intelligence Index 2025 documente une augmentation de 12 % des identifiants issus d’infostealers mis en vente sur le dark web par rapport à l’année précédente, et une hausse de 84 % du volume hebdomadaire moyen d’infostealers livrés par phishing entre 2023 et 2024, avec une accélération mesurée à +180 % au début 2025.

Sur le terrain, le Q2 2026 se caractérise par trois mouvements de fond : une persistance d’activité résiduelle de LummaC2 en dépit du takedown, une montée d’Acreed et de Stealc V2, et une stabilisation des vecteurs d’infection autour du couple ClickFix + malvertising. Nous détaillons ci-dessous chaque famille majeure et ses caractéristiques observées sur la période.

LummaC2 : l’après-takedown

LummaC2 reste central dans l’analyse Q2 2026, non pas tant pour son volume actuel que pour la recomposition qu’il a déclenchée. Le 21 mai 2025, Microsoft a annoncé avoir obtenu de la cour fédérale du district nord de Géorgie l’autorisation de saisir environ 2 300 domaines constituant l’épine dorsale de l’infrastructure Lumma. Microsoft précise avoir identifié plus de 394 000 ordinateurs Windows infectés par Lumma sur la fenêtre 16 mars - 16 mai 2025. En parallèle, le Department of Justice a saisi le panneau de commande central et perturbé les marketplaces où Lumma était commercialisé. Europol et la Japan Cybercrime Control Center ont coordonné les saisies sur les infrastructures locales en Europe et en Asie.

L’opération a porté un coup sévère mais n’a pas éliminé Lumma. Les opérateurs ont rapidement reconfiguré une partie des canaux de distribution sur des domaines de remplacement, et les builds antérieurs au takedown continuent d’être actifs sur les machines déjà infectées. Selon nos observations chez Stealed, LummaC2 reste détectable dans les logs collectés en Q2 2026, mais avec une part en baisse marquée par rapport au pic 2024. Les forums underground reflètent cette ambiguïté : certaines annonces vantent toujours la marque Lumma comme gage de qualité, tandis que d’autres opérateurs distancient ouvertement leur offre du nom devenu trop exposé.

L’enseignement opérationnel pour les équipes sécurité est double. D’une part, les listes IOC liées à LummaC2 publiées avant mai 2025 conservent une utilité résiduelle pour la chasse rétroactive sur les SIEM. D’autre part, le takedown a accéléré la migration des opérateurs vers des familles concurrentes, ce qui rend indispensable une mise à jour rapide des règles de détection vers les nouveaux entrants documentés ci-dessous.

RedLine : déclin confirmé après l’opération Magnus

RedLine continue le déclin entamé après l’opération Magnus menée fin 2024 par Eurojust, la police néerlandaise, le FBI et plusieurs partenaires internationaux, qui avait visé l’infrastructure de RedLine et de META Stealer. Le rapport Stealed de mars 2026 relevait déjà une part en baisse pour RedLine, et cette tendance se prolonge au Q2 2026.

Plusieurs facteurs jouent. Les variantes post-takedown opérées par des forks indépendants restent fonctionnelles mais souffrent d’une perte de confiance sur les marchés. Les cohortes d’opérateurs historiques qui utilisaient RedLine ont migré vers d’autres familles, principalement Stealc V2 et Acreed. Les builds anciens continuent par ailleurs de générer des logs publiés sur Telegram, ce qui peut maintenir artificiellement la présence de RedLine dans les rapports basés sur les seuls volumes bruts. Pour la chasse SOC, RedLine reste à conserver dans les règles de détection, mais sa priorité relative diminue trimestre après trimestre.

Vidar : maturité technique et persistance

Vidar fait partie des familles les plus anciennes encore activement développées et maintient une présence significative au Q2 2026. La famille a démontré une remarquable capacité d’adaptation, passant des canaux de distribution traditionnels à une intégration croissante dans les chaînes ClickFix. Les analyses publiques publiées en 2025, notamment celles de Microsoft Threat Intelligence sur la campagne ClearFake et les variantes ClickFix, mentionnent Vidar comme l’une des charges utiles couramment livrées au terme du parcours d’ingénierie sociale.

Sur la période, Vidar continue de cibler le périmètre classique des stealers (cookies de navigateurs, identifiants stockés, portefeuilles crypto, fichiers de configuration FTP et VPN, sessions de messagerie), avec un accent marqué sur la collecte de tokens de session permettant un détournement de compte sans nécessiter de mot de passe. Vidar reste une famille à prendre au sérieux dans les programmes de détection, en particulier pour les organisations dont les utilisateurs ont accès à des consoles SaaS sensibles.

Stealc V2 : montée en puissance et ciblage cloud

Stealc, initialement publicisé en 2023 par l’acteur Plymouth, a connu une montée en charge significative depuis l’introduction de la version 2 en mars 2025. L’analyse technique publiée par Sekoia.io en 2023 reste une référence pour comprendre les fondations héritées de Vidar et Raccoon. La V2 introduit un protocole de communication C2 simplifié au format JSON, un chiffrement RC4 sur la nouvelle génération de variantes, ainsi qu’un grabber de fichiers unifié couvrant portefeuilles crypto, applications de jeu, messageries, clients email, VPN et navigateurs. Les analyses techniques détaillées par Zscaler ThreatLabz et Picus Security documentent l’extension du périmètre de collecte, la prise en charge de payloads MSI et PowerShell par le loader, et des capacités de capture multi-écran.

Le CrowdStrike 2025 Global Threat Report confirme que Stealc et Vidar ont été mis à jour pour cibler explicitement les identifiants de comptes cloud, ce qui illustre une tendance plus large de spécialisation des stealers vers les accès SaaS et IaaS à forte valeur. Pour les organisations qui exploitent intensivement Microsoft 365, Google Workspace, AWS ou Azure, cette évolution rend prioritaire la chasse aux signaux Stealc V2 dans les logs EDR et la corrélation avec les événements d’authentification cloud.

Au Q2 2026, Stealc V2 figure parmi les familles dont les logs sont le plus régulièrement publiés sur les canaux Telegram que nous surveillons, avec une cadence de mises à jour mineures qui complique la stabilisation des signatures EDR.

Acreed : le successeur potentiel de Lumma

Acreed est l’émergence la plus marquante du paysage 2025-2026 et l’une des familles à surveiller en priorité au Q2 2026. Première observation publique en février 2025, conception modulaire, et infrastructure C2 originale appuyée sur des profils communautaires Steam ainsi que sur la BNB Smart Chain, comme documenté par Bitsight et Intrinsec.

Le décollage commercial d’Acreed s’est principalement produit après le takedown LummaC2. Selon Infosecurity Magazine, Acreed est devenu le stealer dominant sur Russian Market au cours du second semestre 2025, dépassant RedLine, Raccoon, StealC et Vidar en volume de logs vendus. Les sources de threat intelligence ont observé une progression de quelques dizaines de logs au début 2025 à plus de 100 000 logs publiés à mi-année. Au Q2 2026, Acreed figure dans le trio de tête des familles les plus actives sur les marchés que nous surveillons.

Sur le plan technique, Acreed cible agressivement les identifiants SaaS et SSO, avec un focus explicite sur Microsoft 365, Google Workspace, AWS, Azure et Salesforce, ce qui en fait un vecteur de compromission directement exploitable pour des prises de contrôle de comptes cloud à grande échelle. Ses vecteurs d’accès initial recouvrent ceux du marché : phishing, ClickFix avec fausses CAPTCHAs, malvertising sur logiciels craqués, et tutoriels malveillants relayés sur YouTube et TikTok. Pour les équipes SOC, Acreed est désormais la famille à intégrer en priorité dans les playbooks de détection et de réponse, en complément des règles existantes pour les familles traditionnelles.

Autres familles à surveiller

Au-delà des cinq familles centrales, plusieurs autres acteurs méritent une surveillance attentive au Q2 2026.

Rhadamanthys continue de tenir une part significative du marché avec une qualité d’exécution technique reconnue et un modèle commercial stable. Il reste l’une des alternatives premium à LummaC2 et Acreed.

Raccoon v2 maintient une activité régulière mais sans dynamique de croissance comparable à celle d’Acreed. Sa base d’opérateurs historique reste fidèle à la famille mais son recrutement de nouveaux clients ralentit.

Familles émergentes signalées par les analyses publiques de 2025 : Katz Stealer, Bee Stealer et plusieurs successeurs documentés par Flashpoint, ainsi que les déclinaisons Impure Stealer et VodkaStealer documentées par Rapid7 dans le contexte des campagnes ClickFix. La fragmentation du marché post-Lumma s’accompagne d’une multiplication des nouveaux entrants, dont certains atteindront probablement une masse critique au Q3 ou Q4 2026.

Vecteurs d’infection dominants au Q2 2026

L’analyse des vecteurs d’infection observés sur la période confirme la consolidation d’un schéma stable autour de quatre techniques majeures.

ClickFix et fausses CAPTCHAs. Documenté en détail par Microsoft Threat Intelligence en août 2025, ClickFix consiste à inciter l’utilisateur à exécuter lui-même une commande PowerShell au prétexte d’une fausse vérification CAPTCHA ou d’une fausse étape de résolution technique. Microsoft a observé des milliers d’appareils touchés par mois début 2025, y compris dans des environnements protégés par EDR. La technique a été reprise par la quasi-totalité des familles modernes, dont Lumma, Vidar, Stealc V2 et Acreed. Pour les équipes SOC, ClickFix est devenu le vecteur prioritaire à instrumenter, à la fois sur les EDR (détection de PowerShell suspects lancés depuis des sessions navigateur) et sur les passerelles web (filtrage des kits ClickFix connus).

Malvertising et empoisonnement de résultats de recherche. Les campagnes payantes sur les régies publicitaires majeures restent un vecteur efficace pour rediriger des utilisateurs vers des pages de téléchargement de logiciels piégés, en particulier pour les outils de productivité populaires (Notion, Slack, Zoom, OBS) et les utilitaires d’installation de logiciels.

Cracks et logiciels piratés. Le couple YouTube + Telegram reste un canal de diffusion majeur, en particulier pour les populations étudiantes et les utilisateurs de logiciels professionnels onéreux. Les fausses vidéos tutorielles renvoient vers des archives chiffrées dont le mot de passe est partagé pour contourner les analyses automatiques de plateformes.

Phishing à charge utile infostealer. La progression mesurée par IBM X-Force (+180 % du volume hebdomadaire au début 2025 par rapport à 2023) confirme que le phishing reste un vecteur en croissance, alimenté par la capacité des attaquants à industrialiser la production de leurres avec l’appui d’outils d’IA générative.

Implications pour les équipes sécurité

Le paysage Q2 2026 commande des ajustements précis sur cinq axes pour les RSSI et les SOC.

Mettre à jour les règles de détection vers les familles montantes. Acreed et Stealc V2 doivent figurer en priorité dans les contenus EDR et SIEM, en complément des signatures classiques pour Vidar, Rhadamanthys et les variantes Raccoon. La cadence de mises à jour de Stealc V2 implique de programmer des cycles de revue mensuels au minimum.

Instrumenter ClickFix au-delà de l’EDR. La technique repose sur l’exécution PowerShell par l’utilisateur lui-même, ce qui contourne plusieurs contrôles classiques. Combiner règles EDR (détection de PowerShell lancés depuis Explorer.exe ou les sessions navigateur), filtrage des kits ClickFix au niveau du proxy web, et campagnes de sensibilisation ciblées sur les utilisateurs à risque.

Réduire la durée de vie des sessions et invalider activement. Les familles modernes exfiltrent les cookies de session, ce qui permet un détournement sans nécessiter le mot de passe ni le second facteur. Réduire les durées de session sur les applications critiques, déployer des contrôles de réauthentification sur les opérations sensibles, et automatiser l’invalidation des sessions suspectes sont des contre-mesures directes.

Prioriser MFA résistante au phishing pour les accès cloud. Le ciblage explicite des consoles cloud par Acreed et Stealc V2 rend critique le déploiement de passkeys, tokens FIDO2 et politiques d’accès conditionnel sur Microsoft 365, Google Workspace, AWS, Azure et Salesforce. La MFA par SMS ou OTP reste insuffisante face à des attaquants qui disposent du cookie de session valide.

Surveiller l’exposition des identifiants en externe. La détection préventive des identifiants exposés dans les logs d’infostealers est un complément indispensable aux contrôles préventifs. Stealed couvre les sources les plus actives au Q2 2026 (canaux Telegram privés, forums underground, marchés dark web) avec une latence d’alerte de quelques minutes, ce qui permet aux équipes SOC de réagir avant que les identifiants ne soient exploités. Pour les RSSI qui cartographient leur dispositif de détection de fuites d’identifiants, cette brique est aujourd’hui l’une des plus efficaces sur le rapport coût / réduction de risque, et complète utilement un programme SIEM/SOAR mature.

Méthodologie et limitations

Ce rapport est qualitatif sur les tendances et chiffré uniquement lorsque les chiffres proviennent de sources publiques explicitement citées (ENISA, Verizon DBIR, IBM X-Force, CrowdStrike, Microsoft, Sekoia, Bitsight, Recorded Future, Flashpoint, Infosecurity Magazine). Les observations attribuées à Stealed reflètent les tendances qualitatives issues de notre télémétrie sur les sources que nous surveillons (canaux Telegram, forums, marchés). Nous ne publions pas dans ce rapport de chiffres précis sur les volumes Q2 2026, par choix méthodologique : la classification des familles est sujette à des imprécisions intrinsèques (logs combinés, builds modifiés, fakes commerciaux), et les volumes bruts peuvent être trompeurs sans contextualisation par fraîcheur et qualité.

Pour aller plus loin sur le vocabulaire et les concepts mobilisés, voir notre glossaire infostealer et l’article qu’est-ce qu’un infostealer.

Le prochain rapport trimestriel Stealed couvrira le Q3 2026 et sera publié fin août 2026. Pour recevoir le prochain rapport trimestriel directement par email, inscrivez-vous à notre newsletter threat reports.

Questions fréquentes

Quelles familles d’infostealers dominent le paysage au Q2 2026 ? Au deuxième trimestre 2026, le paysage est marqué par la recomposition post-takedown LummaC2 de mai 2025. LummaC2 conserve une activité résiduelle à travers ses opérateurs reconvertis, mais Acreed, Stealc V2 et Vidar captent une part croissante des logs. RedLine poursuit son déclin entamé après l’opération Magnus de fin 2024, tandis que Rhadamanthys reste un acteur majeur. Selon nos observations chez Stealed, ces cinq familles concentrent l’essentiel des logs frais publiés sur les canaux Telegram et marchés underground en Q2 2026.

Comment ces stealers se propagent-ils en Q2 2026 ? Les vecteurs dominants restent le phishing d’identifiants à grande échelle, le malvertising sur des résultats de recherche promus, les téléchargements de logiciels piratés (cracks, keygens) diffusés via YouTube et Telegram, et la technique ClickFix qui combine fausse vérification CAPTCHA et exécution de commandes PowerShell par l’utilisateur. ClickFix s’est imposée comme l’une des techniques d’ingénierie sociale les plus efficaces, observée par Microsoft sur des milliers d’appareils touchés chaque mois début 2025.

Quels secteurs sont les plus ciblés par les infostealers au Q2 2026 ? Les secteurs les plus exposés restent la finance et la banque, la technologie et les services SaaS, la santé et l’éducation. Le rapport Verizon DBIR 2025 indique que les identifiants compromis ont été le vecteur d’accès initial dans 22 % des brèches étudiées, et que 30 % des appareils gérés par les entreprises et 46 % des appareils non gérés présents dans les logs d’infostealers contenaient des identifiants d’entreprise. Les accès cloud (Microsoft 365, Google Workspace, AWS, Azure, Salesforce) sont devenus la cible prioritaire des familles modernes.

Quelles mesures de protection prioriser face aux stealers Q2 2026 ? Quatre priorités : durcir l’authentification (MFA résistante au phishing, passkeys, tokens FIDO2), réduire la durée de vie des sessions et invalider activement les cookies de session compromis, déployer un EDR à jour avec règles spécifiques contre les techniques ClickFix et l’exécution PowerShell suspecte, et instrumenter une surveillance externe des fuites d’identifiants depuis les canaux Telegram et marchés underground pour détecter les compromissions avant exploitation. La détection en temps réel des identifiants exposés est désormais un complément indispensable aux contrôles préventifs.

Quelles perspectives pour le Q3 2026 ? Trois tendances à surveiller. D’abord, la consolidation d’Acreed comme alternative crédible à LummaC2, avec un risque de fragmentation accrue du marché si plusieurs familles concurrentes émergent. Ensuite, la généralisation de ClickFix comme vecteur d’infection grand public, ce qui implique d’adapter les programmes de sensibilisation. Enfin, la professionnalisation continue des access brokers, dont CrowdStrike a documenté une croissance de 50 % d’annonces sur un an, qui transforme les identifiants volés en commodité préalable aux attaques ransomware.

Discuter de votre exposition

Réservez 30 minutes avec notre CTO pour échanger sur l’exposition de votre organisation aux familles d’infostealers actives au Q2 2026 et sur les contre-mesures applicables à votre dispositif. La conversation est conçue comme un échange technique entre pairs, pas comme une démonstration commerciale.

Pour aller plus loin

• Qu’est-ce qu’un infostealer ? : comprendre le malware au cœur de la majorité des fuites d’identifiants documentées dans ce rapport.
• Glossaire infostealer : vocabulaire de référence (stealer, log, HWID, combo list, access broker).
• Rapport menaces infostealers, mars 2026 : panorama mensuel précédent, base de continuité pour suivre les évolutions trimestre après trimestre.
• Comment détecter une fuite d’identifiants : méthodes et outils pour instrumenter la détection externe en complément des contrôles internes.