🎭 Careto : un groupe de hackers d’élite… piloté par le gouvernement espagnol ?
Source : TechCrunch – 23 mai 2025
Objectif de l’article : révéler que le mystérieux groupe de cyberespionnage Careto (ou “The Mask”), découvert en 2014 par Kaspersky, aurait été dirigé par… le gouvernement espagnol.
🕵️ Une décennie de mystère percée
En 2014, l’entreprise de cybersécurité Kaspersky mettait au jour un malware d’un niveau de sophistication exceptionnel, capable d’intercepter des conversations, capturer des frappes clavier, collecter des fichiers sensibles et même activer des micros à distance. Le groupe derrière cette menace fut baptisé Careto, un mot espagnol signifiant “vilain visage” ou “masque”.
Si le rapport technique de l’époque évitait soigneusement d’attribuer l’opération à un État, plusieurs anciens employés de Kaspersky viennent de confirmer à TechCrunch que l’équipe interne était convaincue que Careto travaillait pour le gouvernement espagnol.
“Il n’y avait aucun doute raisonnable”, affirme l’un d’eux.
🎯 Cuba : le point de départ
L’enquête débute lorsqu’un employé du gouvernement cubain est compromis par un malware inconnu. En suivant cette piste, les chercheurs découvrent un réseau de cyberespionnage actif dans 31 pays, dont :
- 🗺️ Cuba (cible principale)
- 🇧🇷 Brésil, 🇲🇦 Maroc, 🇬🇧 Royaume-Uni, 🇫🇷 France, 🇪🇸 Espagne
- 🇱🇾 Libye, 🇨🇴 Colombie, 🇻🇪 Venezuela, 🇨🇭 Suisse…
Selon Kaspersky, toutes les infections détectées à Cuba provenaient d’une seule institution gouvernementale, jugée d’un “intérêt stratégique” pour les attaquants.
Les indices suggérant une origine espagnole ne manquent pas :
- Des expressions typiquement espagnoles dans le code (“Caguen1aMar”)
- Des leurres de phishing imitant des journaux espagnols (El País, Público…)
- Des cibles géostratégiques : Gibraltar, le Brésil (où l’Espagne convoitait un contrat ferroviaire), et la surveillance des membres d’ETA exilés à Cuba
💡 Une cyberattaque de niveau “chef-d’œuvre”
Careto, discret mais redoutablement efficace, aurait opéré depuis 2007. Selon Kaspersky :
- Il s’attaquait à Windows, macOS, Linux, et possiblement Android/iOS
- Il pouvait désactiver les alertes micro, voler des cookies de session, config VPN, documents…
- Il effaçait ses traces avec un soin rare, plaçant Careto parmi les “groupes APT élites”
Après sa découverte en 2014, le groupe a disparu de la surface, effaçant ses serveurs dans un silence maîtrisé.
Mais en 2024, Kaspersky détecte à nouveau Careto dans deux attaques ciblées : une organisation en Amérique latine et une autre en Afrique centrale. Les chercheurs, après recoupement, l’attribuent avec “confiance moyenne à élevée” au même groupe, sur la base de noms de fichiers et de TTPs (tactiques, techniques, procédures) inchangés.
🇪🇸 Un groupe d’État occidental dévoilé
Si cette attribution à l’Espagne se confirme, Careto rejoint le cercle très fermé des groupes APT occidentaux officiellement exposés, aux côtés de :
- 🇺🇸 Equation Group (NSA)
- 🇺🇸 The Lamberts (CIA)
- 🇫🇷 Animal Farm (DGSE, confirmé par Bernard Barbier)
Fidèle à sa politique de “non-attribution publique”, Kaspersky n’a jamais mentionné l’Espagne dans ses rapports, malgré les indices culturels, linguistiques et géopolitiques disséminés dans leur documentation.
🔍 Pourquoi c’est important ?
- Careto prouve que la cyberguerre n’est pas l’apanage des régimes autoritaires : même des États occidentaux démocratiques ont recours à des opérations de surveillance secrètes.
- Le cas illustre la difficulté, même pour des experts, de nommer un commanditaire sans preuve irréfutable.
- Il souligne aussi les liens étroits entre géopolitique et cybersécurité, notamment dans les zones de conflit d’intérêt (Cuba, Gibraltar, Brésil…).
🔗 Source originale : https://techcrunch.com/2025/05/23/mysterious-hacking-group-careto-was-run-by-the-spanish-government-sources-say/