Selon l’AIVD (Service général de renseignement et de sécurité) et la MIVD (Renseignement militaire) des Pays-Bas, via un avis publié le 09/03/2026, des hackers étatiques russes mènent une campagne mondiale contre des comptes Signal et WhatsApp de dignitaires, militaires, fonctionnaires et autres cibles d’intérêt (dont des journalistes). Les services confirment que des agents publics néerlandais sont visés et certains déjà victimes.

Les attaquants recourent à de l’ingénierie sociale pour soutirer les codes de vérification et PIN des utilisateurs, notamment en se faisant passer pour un chatbot de support Signal. Ils abusent aussi de la fonction “appareils liés” de Signal/WhatsApp pour connecter discrètement un appareil et lire à distance les conversations. Les services précisent qu’aucune vulnérabilité technique des applications n’est exploitée: la menace vise des comptes individuels, pas l’intégralité des plateformes. Bien que les apps offrent une chiffrement de bout en bout, la MIVD rappelle qu’elles ne doivent pas servir à des informations classifiées ou sensibles.

Impact constaté: une fois un compte compromis, les attaquants peuvent lire les messages entrants et accéder aux discussions de groupe où le compte est présent, ce qui leur a probablement permis d’obtenir des informations sensibles.

Signes et indices évoqués par l’avis (AIVD/MIVD) pour identifier une compromission dans Signal:

  • 👥 Présence d’un même contact en double dans une liste de membres de groupe, parfois avec une variante de nom (peut indiquer l’ancien compte compromis et un nouveau compte légitime du même utilisateur).
  • 🕵️‍♂️ Changement du nom d’affichage du compte compromis, parfois vers « Deleted account ». Les groupes reçoivent une alerte lors d’un changement de nom; en cas de changement légitime vers « Deleted account », il n’y a pas d’alerte.
  • 🔗 Entrée dans le groupe via un lien d’invitation obtenu illicitement (une notification de jointure via lien est toujours émise). En cas d’anomalie, les comptes doivent être retirés par l’administrateur. Si l’administrateur semble compromis, il est préconisé de quitter le groupe et d’en recréer un nouveau. La vérification de l’identité d’un contact suspect doit se faire par un autre canal (e-mail/téléphone) et, si nécessaire, demander au gestionnaire de retirer les comptes avant de réadmettre le légitime.

TTPs observés:

  • Usurpation d’un chatbot de support Signal pour duper l’utilisateur (hameçonnage) 🎯
  • Vol de codes de vérification et de PIN
  • Abus de la fonction “appareils liés” pour lecture distante des messages
  • Changement du nom d’affichage (ex. « Deleted account ») pour se fondre dans les groupes
  • Accès aux groupes via liens d’invitation compromis

IOCs / Indicateurs contextuels mentionnés:

  • Contacts en double dans un groupe (avec variantes de nom)
  • Nom d’affichage passé à « Deleted account »
  • Notifications d’entrée via lien d’invitation dans un groupe

Il s’agit d’un avis/alerte de sécurité institutionnel visant à décrire la campagne en cours, ses modes opératoires et les indices de compromission, ainsi qu’à renforcer la vigilance des utilisateurs.

🔗 Source originale : https://www.aivd.nl/actueel/nieuws/2026/03/09/rusland-voert-cybercampagne-uit-tegen-signal–en-whatsapp-accounts