Un outil qui peut être utile pour collecter les données de l'attaque :

https://dfir-orc.github.io/

Créé et utilisé de longue date par les équipes de l’ANSSI, le logiciel de collecte DFIR ORC regroupe un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition des données forensiques. Il a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle.

En tout état de cause j'ai fait un tas d'analyses anti malwares, antivirus, anti-keylogger et je ne trouve rien.

Tu sais il y a une une grosse faille récemment pour se connecter à n'importe quel serveur rdp publiquement accessible sans mot de passe:
https://nakedsecurity.sophos.com/2019/07/01/rdp-bluekeep-exploit-shows-why-you-really-really-need-to-patch/
Dès l'annonce de la faille, ya eu des bots qui ont scannés , logé leur "implant" et .... attendu de nouveaux ordre.
Si ça se trouve t'a juste fait partie du lot.

Et le russe est arrivé sur ta machine plus tard, quand il a eu le temps.

Les hypothèses les plus probables restent pour moi un botnet qui s'est retrouvé là et a essayé de voir où il pouvait aller d'autre, ou quelqu'un qui a eu le temps de récupérer des trucs pour des activités pas trop licites (justificatifs de domicile pour faire des faux papiers ou je ne sais trop quoi).
Je me demande d'ailleurs s'il serait utile de porter plainte, en préventif.

Sans aller jusqu'à la plainte, tu peux poser une main courante ou un truc du genre.
En cas de problème dans le futur , tu pourras prouver ainsi que tu n'est pas resté les la tête dans le sable.

Si le russe a pris un truc c'est sans doute pour le revendre direct. Je sais pas si t'avais des gestionnaires de mot de passe, des trucs bancaires, .... mais pour ça ce serait utile de verrouiller (changer de mdp, activer un second facteurs d'auth, ....)

bluekeep a ete trouvé et patché dans la foulée
et il n'y a pas d'usage connu, juste un poc

C'est pas trop ce que j'ai entendu. Ca fait très longtemps qu'il y a des scan avec du brute-force distribué sur les login/password en rdp. Et dès que bluekeep a été publié les scan ont incorporés l'exploit, pour profiter de l'intervalle entre la publication de la mise à jour & l'application par les systèmes. (Ca a été relevé par les honeypot des différentes boites de sécu)

Pour moi quelqu'un a trouvé ton login/pass

C'est pas exclu non plus  bien sur. Mais la coïncidence de timing reste troublante.

j'ai une 20aine de serveurs ouvert sur le net en 3389

Tu peux pas généraliser ton cas !
Je sais que moi je ferais jamais un truc pareil, au pire avec du port-knocking, faut avoir quand même une confiance inébranlable dans l'implèmentation RDP de microsoft, qui... disons, a démontré sa robustesse. Mais chacun prends ses risques :-)

firewall de base, conf de base, antivirus de base
mais oui, mot de passe compliqué

Et mises à jour régulières aussi, non?  Et ptet aussi filtre  sur les pays  ?

Rolala cette faille de l'écran de connexion avec les droits admin !
Je l'avais moi-même utilisée (en local, pas RDP) pour activer la session admin (désactivée par défaut à l'install) d'un poste bloqué par l'espèce de virus "Gendarmerie" y'a pas loin de 10 ans...
Je serai bien tenté d'essayer de la reproduire pour voir s'il était vulnérable, mais bon normalement mon W7 était à jour,

Trouver mon login/pass ? Peu probable, en tout cas après coup j'ai testé mon mot de passe admin dans les dico trouvables sur le net et il n'y est pas.

Le seul truc "de valeur" facilement et rapidement dérobable je pense que c'était le fichier de gestionnaire de mot de passe du navigateur, s'il a fait l'effort d'aller le chercher sur la session utilisateur sur laquelle il n'était pas connecté, dans tous les cas mes mots de passe importants (mails, banques, impôts etc.) ont été changés dans l'heure et, même si j'en utilisais des déjà bien forts (genre "Idjn95dq") je suis enfin passé aux passphrases d'une 20aine de caractères.
Après je ne sais pas ce que peuvent valoir sur le darkweb des RIB, attestations d'assurances, factures d'électricité, copies de cartes grises etc...

Je peux te dire que k-net n'enregistre pas la volumétrie par client individuel.

Juste pour information, AltitudeInfra (qui opere ROSACE) envoie des messages "RADIUS accounting" aux FAIs qui connectent des clients en collecte active. Par contre:
 - c'est aux FAI de decider ce qu'ils font avec ces informations (la poubelle etant en haut de la liste, le stockage ayant une tendance de descendre dans la liste plus la duree est longue).
 - de memoire ca se fait a des intervalles de plusieurs heures (entre 4 et 24). La precision est donc TRES relative.