Citizen Lab expose deux campagnes de surveillance télécom via SS7/Diameter et SIMjacker

🔍 Contexte

Publié le 23 avril 2026 par le Citizen Lab (Université de Toronto), ce rapport de recherche documente deux campagnes distinctes de surveillance télécom menées par des acteurs désignés STA1 et STA2, identifiés comme des vendeurs commerciaux de surveillance (CSV) opérant probablement pour le compte d’États. L’investigation a débuté fin 2024 suite à l’analyse de logs de pare-feu de signalisation mobile, en collaboration avec Cellusys, Telenor Linx, Roaming Audit et P1 Security.

🎯 Campagne STA1 – Suivi de localisation persistant multi-protocoles

STA1 a mené une campagne de suivi de localisation multi-vecteurs ciblant un abonné VVIP d’un opérateur du Moyen-Orient le 25 novembre 2024, en combinant attaques SS7 et Diameter sur une période de 4 heures :

• Phase 1 (reconnaissance SS7) : envoi de messages sendRoutingInfoForSM depuis des GT cambodgiens (SEATEL)
• Phase 2 (SS7 PSI) : requêtes provideSubscriberInfo depuis 7 opérateurs dans 7 pays (Cambodge, Mozambique, Suède, Italie, Liechtenstein, Ouganda)
• Phase 3 (pivot Diameter) : 25 messages Insert-Subscriber-Data-Request depuis Tango Networks UK (cst001.epc.mnc053.mcc234) et 019Mobile Israël (ideabpl1h.epc.mnc019.mcc425)
• Phase 4 (retour SS7 + ATI) : 12 messages anyTimeInterrogation
• Phase 5 (manipulation Diameter) : usurpation d’identité AIS Thaïlande avec Origin-Realm China Unicom, routage via 019Mobile vers IPX Syniverse

L’historique révèle plus de 500 tentatives de tracking depuis novembre 2022, ciblant des abonnés en Thaïlande, Afrique du Sud, Norvège, Bangladesh, Danemark, Suède, Malaisie, Monténégro et Afrique subsaharienne.

🕵️ Campagne STA2 – SIMjacker et exploitation SIM

STA2 a utilisé une approche différente le 11 février 2025, combinant :

• SS7 PSI depuis GT 467647531812 (Telenabler AB, Suède) pour reconnaissance
• SMS binaire malveillant (mt-ForwardSM) contenant un exploit SIMjacker via S@T browser (TP-PID=127, TP-DCS=22), bloqué par le pare-feu
• Diameter AIR (Authentication-Information-Request) avec Visited-PLMN-Id=0000 malformé depuis 5 identifiants opérateurs (Pologne, Suisse, Maroc, Lesotho, Namibie)
• Diameter IDR pour localisation depuis Econet Lesotho, MTC Namibie, Movitel Mozambique

Le payload SIMjacker aurait exfiltré Cell ID, LAC, MNC, MCC vers un SMSC C2 masqué sous l’identité FL1 Liechtenstein (GT 423790105651). L’adresse d’expéditeur SMS usurpée était 250730091970 (Airtel Rwanda). L’historique STA2 révèle plus de 15 700 tentatives depuis octobre 2022, avec des liens techniques vers Fink Telecom Services (FTS), entreprise suisse exposée comme CSV.

🏗️ Infrastructure d’attaque identifiée

Opérateurs utilisés comme passerelles :

• 019Mobile (Israël) – nœud proxy Diameter, DNS supprimé de l’IPX, accessible via Partner Communications (AS12400 → AS51825)
• Tango Networks UK (MNC053/MCC234) – point d’entrée 4G légitime, accès commercial présumé
• Airtel Jersey/Sure (Channel Islands) – Route-Record fixe dra1.je211.epc.mnc003.mcc234.3gppnetwork.org pour STA2

Techniques d’évasion :

• Rotation d’identifiants opérateurs (11 opérateurs dans 9 pays pour STA1)
• Manipulation des champs Origin-Host/Origin-Realm/Route-Record en violation des standards 3GPP/GSMA
• Pivot cross-protocole SS7 ↔ Diameter
• Usurpation d’identité d’opérateurs légitimes (AIS Thaïlande, China Unicom)
• Routage via IPX tiers (BICS, Comfone, Syniverse)

📋 Type d’article

Il s’agit d’une publication de recherche du Citizen Lab visant à documenter techniquement deux campagnes de surveillance télécom actives, à cartographier l’infrastructure utilisée et à exposer les failles structurelles de l’écosystème d’interconnexion mobile mondial.

🧠 TTPs et IOCs détectés

Acteurs de menace

• STA1 (unknown) —
• STA2 (unknown) —
• Salt Typhoon (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• Liminal Panda (state-sponsored) — orkl.eu · Malpedia
• MuddyWater (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• Fink Telecom Services (unknown) —

TTP

• T1592 — Gather Victim Host Information (Reconnaissance)
• T1598 — Phishing for Information (Reconnaissance)
• T1583 — Acquire Infrastructure (Resource Development)
• T1584 — Compromise Infrastructure (Resource Development)
• T1199 — Trusted Relationship (Initial Access)
• T1600 — Weaken Encryption (Defense Evasion)
• T1036 — Masquerading (Defense Evasion)
• T1090 — Proxy (Command and Control)
• T1016 — System Network Configuration Discovery (Discovery)
• T1430 — Location Tracking (Collection)

IOC

• Domaines : cst001.epc.mnc053.mcc234.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : ideabpl1h.epc.mnc019.mcc425.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : ideabpl1h.dea.epc.mnc003.mcc520.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : dra1.je211.epc.mnc003.mcc234.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : dex01.epc.mnc001.mcc460.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : hss1.epc.mnc001.mcc260.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : hss1.epc.mnc002.mcc228.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : hss1.epc.mnc002.mcc604.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : hss1.epc.mnc002.mcc651.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : hss1.epc.mnc001.mcc649.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : hss.epc.mnc002.mcc651.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : hss.epc.mnc001.mcc649.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : hss.epc.mnc003.mcc643.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : hss.epc.mnc063.mcc240.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : hss.epc.mnc001.mcc260.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : vdrap1.epc.mnc019.mcc425.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : vmdra01.epc.mnc019.mcc425.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : dra01.epc.mnc053.mcc234.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : dex01.epc.mnc002.mcc228.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : dex01.epc.mnc001.mcc712.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : dex01.epc.mnc001.mcc260.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : dex01.epc.mnc019.mcc425.3gppnetwork.org — VT · URLhaus · ThreatFox
• Domaines : dex01.epc.mnc006.mcc454.3gppnetwork.org — VT · URLhaus · ThreatFox

Malware / Outils

• SIMjacker (other)
• S@T Browser exploit (other)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

• ⬜ citizenlab.ca — source non référencée (0pts)
• ✅ 95601 chars — texte complet (fulltext extrait) (15pts)
• ✅ 23 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ 0/3 IOCs confirmés externellement (0pts)
• ✅ 10 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : STA1, STA2, Salt Typhoon (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://citizenlab.ca/research/uncovering-global-telecom-exploitation-by-covert-surveillance-actors/