Le 11 mai 2026, l’équipe de recherche de ThreatDown a analysé un encrypteur inconnu récupéré lors d’une intrusion chez un de ses clients. Le ransomware, baptisé Prinz Eugen d’après le croiseur lourd allemand de la Seconde Guerre mondiale, est écrit en Go et présente des caractéristiques techniques qui le distinguent de la production habituelle. Sa particularité la plus notable : il trie les fichiers par date de modification et chiffre les plus récents en premier, ciblant délibérément les données les plus susceptibles d’être en cours d’utilisation. Il ne dépose aucune note de rançon sur le disque, vérifie la déchiffrabilité de chaque fichier avant de supprimer l’original, puis s’auto-détruit en effaçant sa propre clé de chiffrement de la mémoire. Très peu de victimes sont connues à ce jour, si le groupe reste modeste par sa taille, l’encrypteur mérite qu’on s’y arrête pour ce qu’il révèle des techniques émergentes en matière de ransomware.
Un encrypteur qui frappe d’abord les fichiers les plus récents
L’encrypteur est développé en Go. Ses fonctions de chiffrement sont regroupées dans un package nommé scorched-earth-ausfc. Pour chaque répertoire passé en paramètre, le binaire effectue un parcours récursif sans limite de profondeur. L’échantillon analysé ne définit aucune exclusion : tout fichier qui ne porte pas déjà l’extension .prinzeugen ou le suffixe temporaire .tmp est chiffré.
La particularité centrale de l’encrypteur est son ordre de traitement : il trie les fichiers par date de dernière modification, les plus récents en premier, et ne recourt à l’ordre alphabétique qu’en cas d’égalité de timestamp. Cette stratégie est délibérée. Les fichiers récemment modifiés sont ceux qui ont la plus forte probabilité d’être en cours d’utilisation : documents ouverts, bases de données actives, archives de messagerie récentes, fichiers de projets en cours, et les moins susceptibles de disposer d’une sauvegarde récente. Les frapper en premier augmente la pression sur la victime et réduit la fenêtre dans laquelle une intervention pourrait sauver les données les plus critiques. En cas d’interruption du chiffrement par une solution de sécurité ou par un analyste, les fichiers les plus douloureux à perdre sont déjà compromis.
Le chiffrement est parallélisé à raison d’un worker goroutine par CPU. Pour chaque fichier, le processus se déroule en trois étapes : création d’une copie temporaire chiffrée (par exemple .document.docx.prinzeugen.tmp), renommage vers la forme finale (document.docx.prinzeugen), puis, si le flag --delete est actif, vérification que le fichier chiffré est déchiffrable avant suppression de l’original. Cette vérification est notable : l’encrypteur ne détruit rien qu’il ne puisse théoriquement restaurer, ce qui renforce sa crédibilité face à la victime.
La cryptographie employée est robuste : ChaCha20-Poly1305 (AEAD) avec une clé maître de 32 octets, un IV aléatoire par fichier, et une fonction de dérivation de clé (KDF) en trois passes : Argon2id, puis SHA-256, puis HKDF-SHA256. Le chiffrement opère par blocs de 1 Mo avec un contrôle d’intégrité SHA-256. Chaque fichier chiffré porte un header personnalisé identifiable par les octets magiques CHV1.
Aucune note de rançon, une extorsion entièrement hors-bande
L’échantillon analysé ne contient aucune fonctionnalité de dépôt de note de rançon. Pas de fichier texte, pas de page HTML, pas de modification du fond d’écran. La victime ne reçoit aucune instruction sur le système chiffré. L’extorsion passe exclusivement par des canaux hors-bande : les adresses email prinzeugen@mail2tor et [.]costandardbankcc@cock, et un portail Tor dédié.[.]li
ThreatDown observe que cette absence de note est « une tactique que l’on voit de plus en plus chez les groupes ransomware organisés ». L’objectif est double : réduire l’empreinte forensique laissée sur le système compromis, et compliquer la détection automatisée de la phase d’extorsion. Cette tendance au basculement de l’extorsion vers des canaux hors-bande est documentée plus largement par Europol dans son rapport IOCTA 2026.
Prinz Eugen pratique la double extorsion : chiffrement des systèmes et exfiltration des données. La cyberattaque sur Standard Bank (premier groupe bancaire sud-africain), largement relayée par plusieurs médias sud-africains, en est l’illustration la plus détaillée. Environ 1,2 To de données ont été exfiltrées, représentant quelque 154 millions de lignes de données. La demande de rançon, fixée à 1 BTC, a été refusée par la banque. L’opérateur a alors engagé une campagne de fuites progressives sur son portail, passant de 5 000 à 25 000, puis 50 000, puis 100 000 lignes publiées par jour, sur un total revendiqué de 154 millions de lignes. Entre autres, ce refus de payer peut s’inscrire également dans une tendance globale documentée : en 2025, seulement 28 % des victimes de ransomware ont payé la rançon.
Anti-forensics et auto-destruction
Avant de se terminer, le binaire prend des mesures délibérées pour réduire au minimum son empreinte forensique. Il met à zéro la clé de chiffrement codée en dur, puis déclenche le garbage collector de Go pour s’assurer que la clé ne persiste pas en mémoire. Enfin, il s’auto-supprime du disque en utilisant une commande cmd.exe avec un délai par ping : cmd.exe /C ping 127.0.0.1 -n 2 > nul & del /F /Q …\Music\servertool.exe
Le délai par ping laisse au processus parent le temps de se terminer avant que la suppression ne s’exécute. Le résultat combiné de ces trois mesures est qu’après exécution, ni la clé de chiffrement n’est récupérable en mémoire, ni le binaire ne subsiste sur le disque. L’analyse forensique post-incident s’en trouve considérablement compliquée.
ROOTBOY, un opérateur solo au parcours traçable
ThreatDown attribue le ransomware Prinz Eugen à un acteur opérant sous le pseudonyme ROOTBOY, présent sur les forums Exploit et DarkForums, et précédemment actif sous l’alias avtokz sur XSS. Le parcours de cet opérateur est documenté sur plusieurs forums underground depuis juillet 2025 : vente d’une base de données Vantage Finance sous le nom avtokz, puis commercialisation en novembre 2025 de la breach 700Credit (~8,4 millions d’enregistrements américains incluant des numéros de sécurité sociale) sous le nom ROOTBOY, après l’échec d’une tentative d’extorsion menée sous l’identité GERMANIA.
Le lien entre cet historique et l’encrypteur Prinz Eugen repose sur un élément concret : dans l’intrusion analysée par les chercheurs, l’attaquant a créé un compte administrateur local avec le mot de passe germania , le même alias utilisé lors de l’extorsion 700Credit. C’est, selon les chercheurs, l’un des liens d’attribution les plus solides entre le binaire et l’acteur.
D’après l’étude il s’agit vraisemblablement d’une seule personne, réutilisant les mêmes pseudonymes, le même identifiant TOX et la même thématique allemande d’une opération à l’autre.
Accès initial et persistance par outils légitimes
L’intrusion analysée par ThreatDown a probablement débuté par des identifiants RDP compromis. Une fois dans le réseau, l’attaquant a téléchargé l’encrypteur (servertool.exe) via le navigateur Chrome et l’a déposé dans le dossier Music du profil utilisateur. La persistance a été assurée par deux mécanismes complémentaires : l’outil de supervision à distance RemotePC (un logiciel RMM légitime d’IDrive), utilisé pour lancer des stagers PowerShell et déployer des payloads supplémentaires depuis l’adresse 212.80.7.74, et la création manuelle d’un compte administrateur local via la commande net user admin germania /add.
L’approche est caractéristique du Living off the Land (LOTL) : des outils légitimes détournés pour se fondre dans le trafic normal de l’entreprise. Dans l’affaire Standard Bank, la victime la plus documentée, ThreatDown rapporte un mouvement latéral à travers des applications d’entreprise incluant SharePoint, OneDrive, Power Apps, AppDynamics, Jira, Confluence, Citrix, Remedy ainsi que des bases de données Microsoft SQL et Oracle, avec un dwell time d’environ trois semaines avant l’exfiltration.
Une infrastructure éphémère à thématique allemande
L’adresse IP 212.80.7.74 (AS215439, Play2go International, Francfort) a servi à la fois de serveur C2, de panel d’administration et d’hôte de téléchargement des payloads. L’historique DNS et les captures URL-scan révèlent trois domaines associés à cette adresse.
Le premier, stndrdbnk.cc, cible Standard Bank. Il s’agit d’un typosquat, c’est-à-dire un domaine frauduleux qui reproduit le nom d’une organisation légitime en supprimant, ajoutant ou substituant des caractères pour que l’adresse reste visuellement crédible. Ici, les voyelles de « standardbank » ont été retirées. Ce domaine a été capturé le 29 mars servant une page /unlocked compatible avec un portail de négociation ou de paiement. Enregistré le 14 mars 2026 via Porkbun, il a depuis été signalé comme malveillant et son enregistrement DNS a été retiré. Le deuxième, g-captchafestung.sbs, enregistré le 27 mai via NiceNIC, évoque par son nom un possible leurre de type ClickFix, bien que la page ne retournait qu’un {"ok":true} au moment de l’analyse. L’utilisation de ClickFix reste non confirmée. Le troisième, festung-e.duckdns.org, est un hôte DNS dynamique observé entre le 23 et le 30 mai.
Deux de ces trois domaines contiennent le mot Festung (« forteresse » en allemand), un choix cohérent avec la thématique germanophone qui traverse l’ensemble de l’opération : le nom du ransomware lui-même, le package Go scorched-earth-ausfc, le mot de passe germania et les deux domaines à suffixe Festung forment un fil conducteur délibéré.
Fin mai, l’infrastructure avait été nettoyée : le panel d’administration avait disparu, le domaine du typosquat était désactivé et le profil forum de l’opérateur avait été effacé. L’opérateur démantèle systématiquement son infrastructure après chaque opération, un comportement qui complique le suivi mais qui laisse une fenêtre d’exposition réduite.
Indicateurs de compromission
Les principaux indicateurs de compromission associés à Prinz Eugen sont regroupés ci-dessous.
| Indicateur | Type | Détail |
|---|---|---|
212.80.7.74 | C2 / panel / payload | AS215439, Play2go International, Francfort |
stndrdbnk.cc | Domaine | Typosquat Standard Bank, DNS retiré |
g-captchafestung.sbs | Domaine | Possible leurre ClickFix |
festung-e.duckdns.org | Domaine | DNS dynamique, observé du 23 au 30 mai |
servertool.exe | Payload | Encrypteur Go |
.prinzeugen | Extension | Fichiers chiffrés |
CHV1 | Header magique | Identifiant des fichiers chiffrés |
686213cc…bcf1f4 | SHA-256 | Hash de l’échantillon analysé |
net user admin germania /add | Persistance | Compte administrateur local |
| RemotePC (IDrive) | Abus RMM | Stagers PowerShell |
L’acteur est identifiable par les pseudonymes ROOTBOY, avtokz et GERMANIA, un TOX ID commun (496187…22F21), les adresses email prinzeugen@mail2tor[.]co et standardbankcc@cock, et le portefeuille Bitcoin [.]libc1q2ztpcvqdaptej6uu2ywt9mrlatx6envu34rf0v. Le portail de leak actif est accessible à l’adresse prinzfkbjiazbrur4mjje6mntjc4vydx3iatkkzycufoylqcoo4y7pqd ; l’adresse originale [.]onion6cudc5cqa2bjpwdhcwm2lj6dbqejjjqzeo6ipwvmbazr6cgu7vfk3dad est actuellement hors ligne.[.]onion
Prinz Eugen, un encrypteur modeste par sa portée mais révélateur par ses choix techniques
Avec cinq victimes connues au moment de l’étude ThreatDown le ransomware Prinz Prinz Eugen n’a certes pas l’envergure des grandes franchises de ransomware. L’encrypteur se distingue cependant par la cohérence de ses choix de conception : priorisation des fichiers récents, absence de note de rançon, vérification de déchiffrabilité avant suppression de l’original, auto-destruction du binaire. Chaque décision technique sert le même double objectif : augmenter la pression sur la victime, minimiser l’empreinte forensique laissée aux analystes.
Ce que révèle surtout Prinz Eugen, c’est la trajectoire d’un acteur apparemment isolé, ROOTBOY, capable de combiner des outils cryptographiques robustes, une discipline opérationnelle réelle et une logique d’extorsion hors-bande jusqu’ici associée à des opérations bien plus structurées. Pour un acteur vraisemblablement solo, c’est précisément ce décalage entre la sophistication des moyens et la taille de l’opération qui mérite attention.
Sources :
- ThreatDown : Prinz Eugen ransomware: a deep dive into a new Go-based encryptor
- BleepingComputer : New Prinz Eugen ransomware prioritizes recent files for encryption
- Daily Maverick : Standard Bank is discovering the extent of the cyberattack in the daily data dumps
- Ransomware.live : PrinzEugen
