Selon RSF_fr, avec l’appui technique de l’entreprise de cybersécurité Sekoia, l’ONG a été la cible d’une tentative d’hameçonnage en mars 2025 attribuée au groupe Callisto, réputé proche des services de renseignement russes.

• Nature de l’attaque: tentative de phishing ciblé (spearphishing) via un courriel usurpant l’identité d’un contact de confiance, utilisant le prétexte d’une pièce jointe “manquante” pour inciter à la réponse et crédibiliser l’échange avant l’envoi d’un document piégé ou d’un lien malveillant. L’opération a échoué après qu’une anomalie (réponse en anglais à un premier message en français) a éveillé les soupçons et été signalée à l’équipe sécurité. 🛡️

• Attribution: Sekoia attribue l’opération au groupe Callisto (aussi nommé UNC4057 / Star Blizzard / ColdRriver), décrit comme proche du FSB et menant des actions de cyberespionnage. Le groupe est qualifié de “menace persistante avancée (APT)”, c’est‑à‑dire capable de rester furtivement et durablement dans les SI de ses victimes. 🎯

• Contexte: RSF rappelle être régulièrement ciblée pour son action en faveur d’une presse libre, notamment en Russie. L’ONG a été désignée “organisation indésirable” en Russie en août 2025. En mars 2025, RSF dénonçait une campagne de désinformation avec des vidéos truquées lui attribuant de faux propos; en 2024, RSF a porté plainte contre la plateforme X pour absence de modération face à des contenus de désinformation la visant.

• Déclarations: RSF souligne mobiliser des solutions techniques de pointe et des compétences externes pour détecter et qualifier ces opérations, et insiste sur l’importance de la sensibilisation aux signaux faibles. Sekoia a publié le 3 décembre un rapport détaillant l’opération.

IOCs et TTPs:

  • IOCs: aucun indicateur technique de compromission mentionné dans le texte.
  • TTPs:
    • Usurpation d’identité d’un contact de confiance (spearphishing)
    • Leurre “pièce jointe absente” pour susciter la réponse
    • Envoi ultérieur d’un document piégé ou d’un lien malveillant
    • Changement de langue (FR → EN) révélateur d’une anomalie dans l’échange

Type d’article: annonce d’incident visant à informer du ciblage de RSF, de l’attribution à Callisto et du contexte de menaces connexes.

🔗 Source originale : https://rsf.org/fr/rsf-cibl%C3%A9e-par-une-cyberattaque-attribu%C3%A9e-%C3%A0-un-groupe-r%C3%A9put%C3%A9-proche-des-services-de-renseignements