Logiciel malveillant RedLine Stealer : le guide complet

This article was updated on September 30, 2025 with updated information

Bien que les attaques de phishing et les liens Web malveillants conduisent souvent à attaques de Rançongiciels, many deliver other types of malware. Over the last few years, threat actors have been increasingly relying on variantes de logiciels malveillants infostealer to obtain employee credentials.

One of the most common infostealer variants is RedLine, which at one point was the most popular stealer malware. According to Kaspersky’s research, RedLine was used in 51% of infostealer infections from 2020 to 2023. Although RedLine use has declined in recent years, it’s still widely used in attacks. Recent data from IBM showed RedLine as the fifth most used stealer variant, although Lumma is now the most popular.

Qu'est-ce qu'un logiciel malveillant Infostealer ?

Infostealer malware, also called stealers and infostealers, are a vital part of the cybercrime ecosystem. The information stolen during a stealer attack is packaged into de fichiers cleptogiciels, which are often used later to perpetrate future attacks. 

Information stealer malware is a type of Remote Access Trojans (RAT). Attackers typically infect a victim’s device by using a social engineering attack, delivering the stealer via malicious attachments, websites, or ads.

Once the stealer is downloaded to the victim’s device, it harvests sensitive information, like credentials saved in a browser, and sends that data back to the attacker. 

Les méthodes typiques de collecte de données comprennent l'utilisation :

• Récupérateurs de formulaire : intercepter et copier les données que les utilisateurs envoient dans les formulaires
• Enregistrement de frappe: recording the keys that people strike on their keyboards

La plupart des variantes de logiciels malveillants infostealer ciblent :

• Services bancaires en ligne
• Sites de média sociaux
• Comptes de messagerie
• Comptes FTP
• Plateformes de commerce électronique
• Portefeuilles de crypto-monnaie

Stolen information is compiled into a stealer log, and distributed or sold to other threat actors in cybercrime marketplaces on the dark web (like Russian Market), in threat actor forums, or using a messaging platform like Telegram. 

Stealer logs, and the credentials they contain, are then used by those other criminals to launch their own cyberattacks.

What’s the role of stolen credentials in cybercrime? 

Credential-based attacks are extremely common. Verizon’s 2025 Data Breach Investigation Report (DBIR) constaté que 88% of web application attacks in the last year started with stolen credentials. With the cybercrime landscape, stolen credentials typically are synonymous with stealer logs. 

There’s also a strong correlation between Rançongiciels and stealer logs. According to the DBIR, 54% of Rançongiciels victims’ credentials were found in infostealer logs, and 40% of those logs included corporate emails.

While organizations have tried to prevent credential-based attacks by implementing multi-factor authentication (MFA), resourceful threat actors have found ways around MFA, either by using cookies to hijack sessions, or by barraging users with MFA notifications in Attaques de fatigue MFA.

Qu'est-ce que RedLine Stealer ?

Découvert à l'origine dans Mars 2020, attackers initially delivered the RedLine malware in an email campaign, spoofing a legitimate coronavirus-cure research company email address. The RedLine infostealer variant offers a customizable file-grabber, enabling attackers to collect credentials from web browsers, cryptocurrency wallets, and applications, including:

• Navigateurs Chrome
• Navigateur basé sur Gecko, comme Mozilla Firefox
• Clients FTP
• Applications de messagerie instantanée
• Applications VPN

RedLine collecte les informations suivantes à partir des navigateurs des utilisateurs :

• Identifiants et mots de passe
• Cookies
• Remplir automatiquement les champs du formulaire
• Données de carte de crédit
• Historiques de navigateur ;

Furthermore, RedLine Stealer also collects information from the compromised device, including:

• Adresse IP
• Pays
• Ville
• Nom d'utilisateur actuel
• Identification du matériel (HWID)
• Clavier
• Captures d'écran
• Résolution de l'écran
• Système d'exploitation
• Paramètres de contrôle de compte d'utilisateur (UAC)
• User-Agent
• Informations sur le matériel informatique
• Outils antivirus installés
• Données sur les privilèges en cours d'exécution
• Données/fichiers de dossiers communs

Bien que RedLine Stealer existe depuis 2020, des acteurs malveillants continuent de le déployer. En janvier 2023, chercheurs ont observé des acteurs malveillants diffusant la variante du logiciel malveillant à l'aide de fichiers OneNote.

À mesure que les organisations adoptent davantage de technologies basées sur le cloud, les acteurs malveillants chercheront de plus en plus à voler des informations d'identification et à faire évoluer leur utilisation du logiciel malveillant RedLine Stealer.

RedLine enjoyed widespread use and popularity until October 28, 2024, when Operation Magnus disrupted RedLine’s infrastructure. Members of the Dutch National Police, the FBI, and other law enforcement agencies seized servers, domains, and Telegram channels associated with both RedLine and META.  

However, despite the disruption, RedLine is still in use. 

Comment les acteurs de la menace achètent et utilisent RedLine Stealer

RedLine stealer is a Malware-as-a-Service (MaaS), so threat actors can purchase it then sell the stolen data on dark web forums. 

RedLine Stealer est un Malware-as-a-Service (MaaS), donc les pirates peuvent l'acheter puis revendre les données volées sur les forums du dark web. 

Qu'est-ce qu'un logiciel malveillant en tant que service (MaaS) ?

Logiciels malveillants en tant que service (MaaS) est le processus par lequel des acteurs malveillants suivent le modèle économique d'abonnement Software-as-a-Service (SaaS) pour gagner de l'argent grâce à leur code malveillant. Les acteurs de la menace proposent des licences à vie ou des abonnements mensuels qui comprennent :

• Programme malveillant
• Infrastructure du centre de commande et de contrôle (C&C)

Les fournisseurs MaaS font la même chose que les fournisseurs SaaS :

• Offrir l'accès à une plateforme en ligne
• Générez des comptes d'utilisateurs pour que les clients puissent gérer l'attaque
• Fournir une assistance technique lorsque les clients ont besoin d'aide avec la plateforme

Avec l'abonnement, les acteurs malveillants peuvent recevoir, trier et extraire des informations des journaux des appareils compromis. 

Comment fonctionne l'écosystème MaaS ?

La Écosystème MaaS se compose de forums en ligne agissant comme des places de marché. Trois acteurs malveillants de base doivent interagir :

• Someone selling malware
• Someone selling stolen data
• Someone who wants to use the stolen data to engage in other crimes, like fraud

Les acteurs malveillants annoncent leurs logiciels malveillants sur des forums avec des listes qui définissent la fonctionnalité du logiciel malveillant, notamment :

• Les données qu'il collecte 
• Logiciels pris en charge
• Lieux de collecte de données
• Capacités de personnalisation
• Paramètres de la plateforme
• Tâches qu'il accomplit

Après avoir acheté et déployé le logiciel malveillant, les clients vendent ensuite ces données sur des forums Web sombres, comme le marché russe, avec des listes qui incluent généralement :

• Famille de logiciels malveillants Stealer
• Système d'exploitation de l'appareil
• Pays d'origine de l'appareil
• Fournisseur d'accès Internet victime
• Liste des informations d'identification de service disponibles
• Contenu du répertoire archivé 
• Date d'infection de l'appareil

Vous voulez en savoir plus sur le cycle de vie d'une attaque de malware voleur ? Découvrez notre reportage, Disséquer le cycle de vie des logiciels malveillants Dark Web Stealer avec le framework MITRE ATT&CK.

Chaînes RedLine Stealer et Telegram

Les acteurs malveillants utilisent de plus en plus Application de messagerie télégramme to purchase and deploy their RedLine stealer malware. 

Telegram is popular with threat actors for several reasons:

Illicit Telegram Groups Can Provide a Greater Sense of Anonymity

Dark web sources can be intensely monitored by cybersecurity teams and various law enforcement agencies. Telegram, however, is a bit trickier to monitor. 

• Telegram’s “disappearing messages” feature allows channels to automatically delete messages after a certain amount of time
• The rapid flow of Telegram messages pushes older messages down the feed, making it difficult to find older messages, even if they still exist.
• Telegram’s strict privacy policies may make threat actors feel more secure

Les groupes de télégrammes illicites peuvent être plus faciles à utiliser

Compared to the difficulties of connecting to dark web sources, Telegram is much more accessible:

• Le service ne nécessite qu'un numéro de téléphone portable (qui peut être masqué)
• Telegram channels do not require a domain to offer services and tools for sale
• If a Telegram channel is disrupted by law enforcement, it’s easy to set up a new one
• As long as the Telegram service remains online, so can threat actors

In addition, Telegram’s growth as a go-to messaging platform makes it a target for attackers. For example, malicious actors disguised one Variante RedLine en tant qu'installateur de Telegram pour échapper à la détection.

Monitoring Stealer Logs with Flare

La La gestion des expositions aux cybermenaces de Flare solution empowers organizations to proactively detect, prioritize, and mitigate the types of exposures commonly exploited by threat actors. Our platform automatically scans the clear & dark web and prominent threat actor communities 24/7 to discover unknown events, prioritize risks, and deliver actionable intelligence you can use instantly to improve security.

Flare integrates into your security program in 30 minutes and often replaces several SaaS and open source tools. See what external threats are exposed for your organization by signing up for our essai gratuit.