Le ministère américain de la Justice, le Bureau fédéral d'enquête (FBI) et le Bureau national finlandais d'enquête ont récemment lancé une opération conjointe et ont réussi à arrêter un homme de 19 ans soupçonné de participer à l'un des plus grands groupes de cybercriminalité au monde à l'aéroport d'Helsinki en Finlande. Selon les données divulguées par le ministère américain de la Justice, le groupe de pirates informatiques, appelé Scattered Spider, a déjà extorqué plus de 100 millions de dollars en rançons via des attaques de ransomware.

Le suspect arrêté cette fois-ci s'appelle Peter Stokes, qui possède la double nationalité américaine et estonienne. Au moment de l'incident, il tentait de monter à bord d'un vol à destination du Japon à Helsinki, mais a été intercepté par les forces de l'ordre avant de monter à bord de l'avion. La police a trouvé une grande quantité de preuves criminelles extrêmement incriminantes dans deux disques durs qu'il transportait avec lui.
Le déclencheur direct qui a conduit à l'arrestation de Stokes a été la cyberattaque lancée par le groupe contre un bijoutier de luxe aux États-Unis en mai 2025. À cette époque, l'attaquant a utilisé Google Voice pour appeler le service informatique du bijoutier, se faisant passer pour un employé de l'entreprise, et a réussi à tromper le technicien en lui faisant réinitialiser les informations d'identification du compte. Cette décision a entraîné la compromission de trois comptes d'entreprise, dont deux disposaient également de droits d'administrateur. Par la suite, des membres de gangs, dont Stokes, ont volé des données importantes, les ont cryptées et ont extorqué 8 millions de dollars de crypto-monnaie au bijoutier. Bien que le bijoutier ait finalement repris le contrôle du système et refusé de payer la rançon, l'interruption prolongée de ses activités a entraîné des pertes d'exploitation d'environ 2 millions de dollars. Cela a également incité les procureurs et les responsables de l’application des lois à commencer à suivre les indices et à lancer un suivi transfrontalier.
Au cours de l’enquête sur l’affaire, le géant de la technologie Microsoft a apporté une aide essentielle. Microsoft a fourni au FBI des données dites « Global Device Identifier » (GDID). GDID est un numéro d'identification unique attribué à chaque appareil sur lequel Windows est installé et est utilisé pour suivre les données de télémétrie d'un appareil spécifique. Des documents judiciaires montrent que Stokes a utilisé le système Windows 11 pendant le crime. C’est grâce à cette signature que les enquêteurs ont réussi à associer ses périphériques physiques à des activités réseau et à des emplacements géographiques spécifiques. Les données fournies par Microsoft ont ouvert la chronologie et enregistré des indices importants tels que les activités réseau de Stokes, l'historique des jeux en ligne, l'adresse IP, l'utilisation des outils (y compris Ngrok) et le statut Azure en détail.
En fait, dès 2024, les autorités chargées de l'application des lois connaissaient déjà la véritable identité de Stokes. Cependant, comme il était encore mineur à l'époque et qu'il vivait depuis longtemps entre l'Estonie et les Émirats arabes unis, la police a choisi de le surveiller secrètement et n'a fermé le réseau qu'à ce moment-là. La plainte pénale officielle comprenait également une preuve matérielle ironique : Stokes a un jour publié un selfie sur Snapchat dans lequel il se couvrait le visage avec des dizaines de billets de cent dollars. En se basant sur le style du papier peint, de la moquette et du mobilier en arrière-plan de la photo, la police a déterminé avec précision que l'endroit où la photo avait été prise était l'Empire Hotel à New York. Les archives montrent qu'il a visité le site officiel de l'hôtel en Allemagne, puis s'est envolé pour New York.
Stokes a été extradé vers les États-Unis après avoir été arrêté en Finlande. Le 30 juin 2026, il a comparu pour la première fois devant le tribunal fédéral de Chicago. Stokes est toujours en garde à vue et fait face à des accusations de complot, de cyber-intrusion et de fraude.