Spyware

Selon The Record (therecord.media), le 12 janvier 2026, la Hongrie a accordé l’asile politique à Zbigniew Ziobro, ancien ministre polonais de la Justice, poursuivi en Pologne pour son rôle présumé dans un vaste scandale de spyware. Ziobro fait face à des dizaines de chefs d’inculpation pour avoir prétendument détourné des fonds destinés aux victimes de crimes afin de financer un spyware utilisé pour espionner les appareils d’opposants politiques. 🕵️‍♂️ Sur X, Ziobro affirme accepter l’asile « en raison de la persécution politique en Pologne », déclarant vouloir rester à l’étranger jusqu’au rétablissement de « garanties authentiques de l’État de droit » et préférer « combattre la montée de l’illégalité en Pologne » plutôt que d’être « réduit au silence ». ...

TechCrunch (article de Lorenzo Franceschi-Bicchierai) détaille la publication par NSO Group d’un rapport de transparence 2025 présenté comme une « nouvelle phase de responsabilité », mais dépourvu de chiffres vérifiables. Le document affirme respecter les droits humains et imposer des contrôles à ses clients, sans apporter de preuves ni d’indications sur les rejets, enquêtes, suspensions ou résiliations liés à des abus. 🧾 Des expertes et ONG (Access Now, Citizen Lab) estiment que cette démarche s’inscrit dans une campagne visant à obtenir la sortie d’NSO de l’Entity List américaine. Le texte rappelle de récents changements de gouvernance et d’actionnariat (nomination de David Friedman comme executive chairman, départ du CEO Yaron Shohat et du cofondateur Omri Lavie) à la suite de l’acquisition par un groupe d’investisseurs américains. Selon Natalia Krapiva (Access Now), ces annonces relèvent d’un « habillage » et ne prouvent pas une transformation substantielle. 🕵️‍♂️ ...

Selon RSF Digital Security Lab (Reporters sans frontières), en collaboration avec RESIDENT.NGO et avec un appui d’Amnesty International Security Lab, un nouveau spyware Android nommé « ResidentBat » a été mis au jour après l’infection du téléphone d’un journaliste biélorusse au T3 2025, consécutive à une saisie par le KGB. • Le spyware, empaqueté en APK et installé via accès physique (pas d’exploits), abuse de permissions étendues et d’un service d’accessibilité pour collecter des SMS, appels entrants/sortants (avec enregistrement d’appels), fichiers, photos/vidéos, microphone, captures d’écran/vidéo (MediaProjection), presse-papiers (jusqu’à Android 10), localisation, notifications et contenus d’apps (messageries comme Telegram, Viber, Skype, VK, Signal, WhatsApp, etc.). Il se déclare Device Admin, peut verrouiller ou effacer l’appareil, et persiste en service au premier plan. ...

TechCrunch rapporte, sur la base d’une publication d’Amnesty International et de partenaires médias (Haaretz, Inside Story, Inside IT), des fuites montrant qu’Intellexa aurait eu un accès à distance aux systèmes de surveillance de certains clients utilisant le spyware Predator. Les documents divulgués (documents internes, supports commerciaux, vidéos de formation) incluent une vidéo où des employés d’Intellexa se connecteraient via TeamViewer à des systèmes clients. Cette vidéo montrerait des parties privilégiées de la plateforme Predator, dont un tableau de bord et un stockage contenant photos, messages et autres données exfiltrées des victimes. Amnesty publie des captures mais pas la vidéo complète. ...

Selon Koi Security (blog), une enquête attribue à l’acteur « ShadyPanda » une campagne d’extensions de navigateur étalée sur sept ans, visant Chrome et Edge, ayant infecté 4,3 millions d’utilisateurs avec des modules de surveillance et un backdoor à exécution de code à distance (RCE). • Phases de la campagne (2018–2025) : Phase 1 (2023) – « Wallpaper Hustle » (145 extensions, éditeurs nuggetsno15 et rocket Zhang) : fraude à l’affiliation (injection de codes affiliés eBay/Amazon/Booking), tracking via Google Analytics (visites, recherches, clics). Phase 2 (début 2024) – Détournement de recherche (ex. Infinity V+) : redirections via trovi.com, exfiltration de cookies (nossl.dergoodting.com), collecte des frappes de recherche vers s-85283.gotocdn[.]com et s-82923.gotocdn[.]com (HTTP non chiffré). Phase 3 (milieu 2024) – La « longue traque » : extensions légitimes depuis 2018–2019 (dont Clean Master, 200k+) weaponisées via mise à jour silencieuse après accumulation d’utilisateurs et badges « Featured/Verified ». Environ 300 000 utilisateurs touchés par un backdoor RCE commun à 5 extensions. Phase 4 (≈2023–2025) – « Spyware Empire » sur Microsoft Edge par Starlab Technology : 5 extensions totalisant 4 M+ d’installations (dont WeTab 新标签页 à 3 M) ; opération toujours active au moment du rapport. • Capacités et impacts clés : ...

Selon Follow the Money (FtM) et ses partenaires médias, une enquête montre que des millions d’euros de fonds européens ont bénéficié à des sociétés commerciales de spyware, suscitant une réaction et des critiques à Bruxelles. FtM rapporte que des entreprises comme le groupe Intellexa (développeur du trojan d’État Predator), Cognyte, CyGate et Verint ont obtenu des financements publics, notamment via des programmes d’innovation, pour des technologies de surveillance/spyware souvent associées à des atteintes aux droits humains. Des parlementaires font valoir que ces outils ont été ou sont utilisés à des fins répressives dans des États membres (Pologne, Grèce, Hongrie) et dans des pays tiers autoritaires, ce qui mine les droits fondamentaux et la démocratie. ...

Selon TechCrunch, WhatsApp a informé Francesco Nicodemo, consultant travaillant avec des responsables politiques de centre-gauche en Italie, que son téléphone avait été ciblé par le spyware Paragon. Après 10 mois de silence, Nicodemo a rendu l’affaire publique, élargissant encore le scandale de surveillance par spyware en Italie, qui touche déjà des journalistes, des militants pour l’immigration et des dirigeants d’entreprise. 🕵️‍♂️ Nicodemo a publié un message sur Facebook exprimant ses interrogations sur l’usage d’un outil aussi sophistiqué contre un citoyen privé. Le site Fanpage avait été le premier à rapporter qu’il faisait partie des personnes notifiées par WhatsApp en janvier. ...

Source: TechCrunch. Dans un article de Lorenzo Franceschi-Bicchierai, TechCrunch relaie un rapport de Kaspersky attribuant un nouveau spyware Windows nommé « Dante » à Memento Labs (ex-Hacking Team), observé contre des victimes en Russie et au Bélarus, avec confirmation par le PDG de Memento. • Kaspersky a détecté une campagne où un groupe baptisé « ForumTroll » a utilisé des appâts de type invitations au forum de politique et d’économie russe « Primakov Readings » pour viser un large éventail d’organisations en Russie (médias, universités, organismes gouvernementaux). Kaspersky note une forte maîtrise du russe par les attaquants, tout en soulignant des erreurs indiquant qu’ils ne seraient pas natifs. 🎯 ...

Selon Kaspersky, ses chercheurs ont découvert un spyware commercial jusqu’ici non identifié nommé « Dante », attribué à Memento Labs (anciennement Hacking Team), et l’ont relié aux attaques du groupe APT ForumTroll. 🕵️ « Mem3nt0 mori » : retour de Hacking Team (Memento Labs) via l’espionnage ForumTroll et le spyware Dante Des chercheurs de Kaspersky ont dévoilé Operation ForumTroll, une campagne d’espionnage active depuis au moins 2022 visant médias, universités, centres de recherche, institutions publiques et financières en Russie et Biélorussie. L’infection débute par des liens de hameçonnage personnalisés (invitations au forum Primakov Readings) : une simple visite via Chrome/Chromium suffisait, grâce à un 0-day d’évasion du bac à sable corrigé comme CVE-2025-2783. Le site malveillant validait la victime (WebGPU + ECDH) et livrait l’étape suivante chiffrée (AES-GCM). Firefox a corrigé un schéma similaire (CVE-2025-2857). ...

Selon iVerify (article de Matthias Frielingsdorf, VP Research), iOS 26 modifie la gestion du fichier shutdown.log en l’écrasant à chaque redémarrage, ce qui efface des preuves historiques d’infections par les spywares Pegasus et Predator, posant un défi majeur aux enquêteurs forensiques. 📱 Rôle de shutdown.log: Pour les versions antérieures, le fichier se trouvait dans les Unified Logs (Sysdiagnose → system_logs.logarchive → Extra → shutdown.log) et conservait une trace des activités lors de l’extinction. En 2021, des versions connues de Pegasus laissaient des marqueurs visibles dans ce log, facilitant l’identification d’indicateurs de compromission (IOC). ...