Repéré en promotion sur Telegram et de nombreux forums pirates, SantaStealer est désormais « production-ready ». Le risque de ce nouveau logiciel pirate tient à son modèle SaaS et à une exécution entièrement en mémoire.La société Rapid7 indique que SantaStealer, un infostealer vendu en malware-as-a-service, est officiellement lancé « in the wild » depuis la fin d’année 2025. Une phase de promotion massive sur Telegram, des sites pirates comme BreachForums et le forum russophone Lolz. Présenté comme un rebranding probable du logiciel pirate « BluelineStealer », l’outil, écrit en C, vise Windows 7 à 11 et promet l’extraction de données « précieuses » via un panneau web que ZATAZ a pu visiter.
Du teasing sur Telegram au produit « prêt à vendre »
Le marketing de la malveillance, l’outil obligatoire pour les pirates informatiques. Et la promotion de SantaStealer est affichée comme une mise sur le marché, pas d’une simple preuve de concept. Tout a débuté par une promotion d’un malware « encore en développement » sur des canaux Telegram, des forums underground. Quelques jours plus tard, le Service de veille de ZATAZ a pu repérer les « pubs » annonçant une mise en location.
Le discours marketing du développeur, relayé via Telegram, revendique un stealer Windows « développé en C« , « sans dépendances » et « entièrement autonome« , capable de fonctionner sur Windows 7 à 11. L’argument de compatibilité large vise un effet volume, plus la base cible est étendue, plus les affiliés peuvent industrialiser. Ensar Seker, CISO chez SOCRadar, résume l’évolution : SantaStealer illustre une économie criminelle en mode « SaaS« , avec des codes, des options, et une tarification qui imite le logiciel légitime.
Seker pointe surtout ce qui inquiète : la bascule vers des opérations « memory-only« . Dans cette approche, l’empreinte disque est réduite, ce qui permet de contourner une partie des détections classiques basées sur fichiers, et de compliquer la réponse si l’observation mémoire n’est pas outillée.
Un SaaS du vol de données, avec panel et options “ciblage”
Le modèle commercial est explicite. SantaStealer proposait dès novembre 2025 trois formules, 175 $ par mois (161 €) [qui a augmenté en janvier 2026], 300 $ par mois (276 €), et un plan « à vie » à 1 000 $ (920 €). Les offres incluent un « web panel » pour créer, gérer et éditer des builds, ainsi que des logs configurables envoyés vers Telegram ou vers un serveur C2. Le service met aussi en avant des modules paramétrables, pour choisir quelles données collecter et quelles fonctions activer. ZATAZ a pu visiter cet outil malveillant, à découvrir dans cette vidéo.
Un point de détail ressort : la possibilité annoncée de configurer l’outil pour éviter de cibler des victimes russophones et des pays de la CEI. Une option rarement vue, car l’évitement des cibles CEI est souvent codé en dur directement dans le malware, plutôt que laissé au choix de l’utilisateur. Ce choix configurable suggère une volonté d’élargir le marché affilié tout en conservant un garde-fou traditionnel du cybercrime russophone.
Sur les capacités, une collecte classiquement large : documents sensibles, identifiants, portefeuilles numériques, données issues de nombreuses applications. L’exfiltration, elle, est décrite comme assez brute : les données volées seraient compressées, découpées en blocs de 10 MB, puis envoyées vers un serveur C2 via HTTP non chiffré. Ce contraste est intéressant : exécution mémoire avancée d’un côté, transport non chiffré de l’autre. A noter que les premiéres versions proposées affichent une configuration et une adresse IP de C2 intégrées en clair dans l’exécutable. Etonnant !
On se protége comment ? Téléchargement de fichiers obscures (c***k de jeux vidéo, logiciels de triche, copie d’outils informatique, Etc.) à bannir. Méfiance aussi des « applications » proposées dans les publicités troubles que l’on peut croiser, par exemple, sur des sites de streaming illicites. Rapid7 recommande aussi de se méfier des liens et pièces jointes inconnus. ZATAZ rajoiutera de se méfuier des fausses vérifications « humaines » et autres faux supports techniques incitant à exécuter des commandes comme nous avons pu vous en alerter, en décembre 2025.
Dans une lecture cyber-renseignement, SantaStealer est moins un nouveau malware qu’un indicateur : le vol de données se vend comme un abonnement, et la mémoire devient le nouveau terrain de chasse.
merci à ZATAZ
