Spyware

Selon RSF Digital Security Lab (Reporters sans frontières), en collaboration avec RESIDENT.NGO et avec un appui d’Amnesty International Security Lab, un nouveau spyware Android nommé « ResidentBat » a été mis au jour après l’infection du téléphone d’un journaliste biélorusse au T3 2025, consécutive à une saisie par le KGB. • Le spyware, empaqueté en APK et installé via accès physique (pas d’exploits), abuse de permissions étendues et d’un service d’accessibilité pour collecter des SMS, appels entrants/sortants (avec enregistrement d’appels), fichiers, photos/vidéos, microphone, captures d’écran/vidéo (MediaProjection), presse-papiers (jusqu’à Android 10), localisation, notifications et contenus d’apps (messageries comme Telegram, Viber, Skype, VK, Signal, WhatsApp, etc.). Il se déclare Device Admin, peut verrouiller ou effacer l’appareil, et persiste en service au premier plan. ...

TechCrunch rapporte, sur la base d’une publication d’Amnesty International et de partenaires médias (Haaretz, Inside Story, Inside IT), des fuites montrant qu’Intellexa aurait eu un accès à distance aux systèmes de surveillance de certains clients utilisant le spyware Predator. Les documents divulgués (documents internes, supports commerciaux, vidéos de formation) incluent une vidéo où des employés d’Intellexa se connecteraient via TeamViewer à des systèmes clients. Cette vidéo montrerait des parties privilégiées de la plateforme Predator, dont un tableau de bord et un stockage contenant photos, messages et autres données exfiltrées des victimes. Amnesty publie des captures mais pas la vidéo complète. ...

Selon Koi Security (blog), une enquête attribue à l’acteur « ShadyPanda » une campagne d’extensions de navigateur étalée sur sept ans, visant Chrome et Edge, ayant infecté 4,3 millions d’utilisateurs avec des modules de surveillance et un backdoor à exécution de code à distance (RCE). • Phases de la campagne (2018–2025) : Phase 1 (2023) – « Wallpaper Hustle » (145 extensions, éditeurs nuggetsno15 et rocket Zhang) : fraude à l’affiliation (injection de codes affiliés eBay/Amazon/Booking), tracking via Google Analytics (visites, recherches, clics). Phase 2 (début 2024) – Détournement de recherche (ex. Infinity V+) : redirections via trovi.com, exfiltration de cookies (nossl.dergoodting.com), collecte des frappes de recherche vers s-85283.gotocdn[.]com et s-82923.gotocdn[.]com (HTTP non chiffré). Phase 3 (milieu 2024) – La « longue traque » : extensions légitimes depuis 2018–2019 (dont Clean Master, 200k+) weaponisées via mise à jour silencieuse après accumulation d’utilisateurs et badges « Featured/Verified ». Environ 300 000 utilisateurs touchés par un backdoor RCE commun à 5 extensions. Phase 4 (≈2023–2025) – « Spyware Empire » sur Microsoft Edge par Starlab Technology : 5 extensions totalisant 4 M+ d’installations (dont WeTab 新标签页 à 3 M) ; opération toujours active au moment du rapport. • Capacités et impacts clés : ...

Selon Follow the Money (FtM) et ses partenaires médias, une enquête montre que des millions d’euros de fonds européens ont bénéficié à des sociétés commerciales de spyware, suscitant une réaction et des critiques à Bruxelles. FtM rapporte que des entreprises comme le groupe Intellexa (développeur du trojan d’État Predator), Cognyte, CyGate et Verint ont obtenu des financements publics, notamment via des programmes d’innovation, pour des technologies de surveillance/spyware souvent associées à des atteintes aux droits humains. Des parlementaires font valoir que ces outils ont été ou sont utilisés à des fins répressives dans des États membres (Pologne, Grèce, Hongrie) et dans des pays tiers autoritaires, ce qui mine les droits fondamentaux et la démocratie. ...

Selon TechCrunch, WhatsApp a informé Francesco Nicodemo, consultant travaillant avec des responsables politiques de centre-gauche en Italie, que son téléphone avait été ciblé par le spyware Paragon. Après 10 mois de silence, Nicodemo a rendu l’affaire publique, élargissant encore le scandale de surveillance par spyware en Italie, qui touche déjà des journalistes, des militants pour l’immigration et des dirigeants d’entreprise. 🕵️‍♂️ Nicodemo a publié un message sur Facebook exprimant ses interrogations sur l’usage d’un outil aussi sophistiqué contre un citoyen privé. Le site Fanpage avait été le premier à rapporter qu’il faisait partie des personnes notifiées par WhatsApp en janvier. ...

Source: TechCrunch. Dans un article de Lorenzo Franceschi-Bicchierai, TechCrunch relaie un rapport de Kaspersky attribuant un nouveau spyware Windows nommé « Dante » à Memento Labs (ex-Hacking Team), observé contre des victimes en Russie et au Bélarus, avec confirmation par le PDG de Memento. • Kaspersky a détecté une campagne où un groupe baptisé « ForumTroll » a utilisé des appâts de type invitations au forum de politique et d’économie russe « Primakov Readings » pour viser un large éventail d’organisations en Russie (médias, universités, organismes gouvernementaux). Kaspersky note une forte maîtrise du russe par les attaquants, tout en soulignant des erreurs indiquant qu’ils ne seraient pas natifs. 🎯 ...

Selon Kaspersky, ses chercheurs ont découvert un spyware commercial jusqu’ici non identifié nommé « Dante », attribué à Memento Labs (anciennement Hacking Team), et l’ont relié aux attaques du groupe APT ForumTroll. 🕵️ « Mem3nt0 mori » : retour de Hacking Team (Memento Labs) via l’espionnage ForumTroll et le spyware Dante Des chercheurs de Kaspersky ont dévoilé Operation ForumTroll, une campagne d’espionnage active depuis au moins 2022 visant médias, universités, centres de recherche, institutions publiques et financières en Russie et Biélorussie. L’infection débute par des liens de hameçonnage personnalisés (invitations au forum Primakov Readings) : une simple visite via Chrome/Chromium suffisait, grâce à un 0-day d’évasion du bac à sable corrigé comme CVE-2025-2783. Le site malveillant validait la victime (WebGPU + ECDH) et livrait l’étape suivante chiffrée (AES-GCM). Firefox a corrigé un schéma similaire (CVE-2025-2857). ...

Selon iVerify (article de Matthias Frielingsdorf, VP Research), iOS 26 modifie la gestion du fichier shutdown.log en l’écrasant à chaque redémarrage, ce qui efface des preuves historiques d’infections par les spywares Pegasus et Predator, posant un défi majeur aux enquêteurs forensiques. 📱 Rôle de shutdown.log: Pour les versions antérieures, le fichier se trouvait dans les Unified Logs (Sysdiagnose → system_logs.logarchive → Extra → shutdown.log) et conservait une trace des activités lors de l’extinction. En 2021, des versions connues de Pegasus laissaient des marqueurs visibles dans ce log, facilitant l’identification d’indicateurs de compromission (IOC). ...

Selon TechCrunch (Lorenzo Franceschi-Bicchierai, 21 octobre 2025), un ancien développeur d’exploits iOS chez Trenchant — filiale de L3Harris — a reçu une alerte d’Apple l’informant d’un ciblage par spyware mercenaire sur son iPhone personnel, peu après son licenciement. Le développeur (pseudonyme « Jay Gibson ») dit avoir reçu la notification le 5 mars et avoir immédiatement éteint l’appareil. Il pourrait s’agir du premier cas documenté d’un concepteur d’exploits/spyware lui-même visé par un spyware. Apple n’a pas commenté. ...

Selon La Stampa (avec éléments d’IrpiMedia), la campagne de cyber‑surveillance au spyware Graphite de Paragon Solutions s’étend en Italie au‑delà des journalistes et activistes, jusqu’au financier Francesco Gaetano Caltagirone, destinataire d’une notification de sécurité WhatsApp en janvier. — Faits saillants Cible nouvelle: Francesco Gaetano Caltagirone (industriel, éditeur, actionnaire de Generali, MPS, Mediobanca) a été alerté par WhatsApp d’une tentative d’infection via attaque zero‑click. D’autres personnalités avaient déjà reçu des alertes similaires, dont des journalistes (Fanpage, Dagospia) et des activistes (Mediterranea). Méthodes d’infection: vulnérabilités zero‑click dans WhatsApp (insertion du numéro dans un groupe, partage d’un PDF, puis disparition du groupe) et dans Apple iMessage (envoi d’un fichier image). Les attaques ciblent uniquement l’appareil visé et ne nécessitent aucune interaction. Analyses et confirmations: Citizen Lab a confirmé la présence de Paragon/Graphite sur le téléphone de Ciro Pellegrino (Fanpage). Après les alertes, certains appareils ont été réinitialisés usine, effaçant aussi d’éventuelles traces forensiques. — Cadre institutionnel et enquêtes ...