Selon un avertissement de la CISA (cisa.gov) daté du 24 novembre 2025, plusieurs acteurs menaçants utilisent des logiciels espions commerciaux pour cibler les utilisateurs d’applications de messagerie mobile, avec des techniques avancées de ciblage et d’ingénierie sociale. 🔔
Les acteurs cherchent à obtenir un accès non autorisé aux apps de messagerie afin de faciliter le déploiement de charges malveillantes supplémentaires pouvant compromettre davantage l’appareil mobile. Objectif principal: prise de contrôle de comptes de messagerie et déploiement de payloads additionnels sur les terminaux. 📱🕵️
Tactiques mises en avant:
- Hameçonnage et QR codes de liaison d’appareil malveillants pour lier des comptes compromis à des appareils contrôlés par les attaquants.
- Exploits zero-click ne nécessitant aucune action de l’utilisateur.
- Usurpation d’identité de plateformes de messagerie, notamment Signal et WhatsApp.
Ciblage: la campagne demeure opportuniste, mais des indices montrent un intérêt accru pour des personnalités de haut niveau (responsables gouvernementaux, militaires et politiques actuels et anciens), ainsi que des organisations de la société civile et des individus situés aux États-Unis, au Moyen-Orient et en Europe. 🎯
La CISA encourage fortement les utilisateurs d’apps de messagerie à consulter ses documents: Mobile Communications Best Practice Guidance et Mitigating Cyber Threats with Limited Resources: Guidance for Civil Society, couvrant la protection des communications mobiles et les mesures de mitigation contre le spyware.
TTPs et IOCs:
- TTPs: hameçonnage, QR codes de device linking malveillants, exploits zero-click, usurpation d’identité de plateformes de messagerie.
- IOCs: non fournis.
Il s’agit d’une alerte de sécurité visant à informer sur des méthodes d’intrusion actives et à orienter vers des guides officiels de bonnes pratiques.
🔗 Source originale : https://www.cisa.gov/news-events/alerts/2025/11/24/spyware-allows-cyber-threat-actors-target-users-messaging-applications