Spyware

Selon Kaspersky, ses chercheurs ont découvert un spyware commercial jusqu’ici non identifié nommé « Dante », attribué à Memento Labs (anciennement Hacking Team), et l’ont relié aux attaques du groupe APT ForumTroll. 🕵️ « Mem3nt0 mori » : retour de Hacking Team (Memento Labs) via l’espionnage ForumTroll et le spyware Dante Des chercheurs de Kaspersky ont dévoilé Operation ForumTroll, une campagne d’espionnage active depuis au moins 2022 visant médias, universités, centres de recherche, institutions publiques et financières en Russie et Biélorussie. L’infection débute par des liens de hameçonnage personnalisés (invitations au forum Primakov Readings) : une simple visite via Chrome/Chromium suffisait, grâce à un 0-day d’évasion du bac à sable corrigé comme CVE-2025-2783. Le site malveillant validait la victime (WebGPU + ECDH) et livrait l’étape suivante chiffrée (AES-GCM). Firefox a corrigé un schéma similaire (CVE-2025-2857). ...

Selon iVerify (article de Matthias Frielingsdorf, VP Research), iOS 26 modifie la gestion du fichier shutdown.log en l’écrasant à chaque redémarrage, ce qui efface des preuves historiques d’infections par les spywares Pegasus et Predator, posant un défi majeur aux enquêteurs forensiques. 📱 Rôle de shutdown.log: Pour les versions antérieures, le fichier se trouvait dans les Unified Logs (Sysdiagnose → system_logs.logarchive → Extra → shutdown.log) et conservait une trace des activités lors de l’extinction. En 2021, des versions connues de Pegasus laissaient des marqueurs visibles dans ce log, facilitant l’identification d’indicateurs de compromission (IOC). ...

Selon TechCrunch (Lorenzo Franceschi-Bicchierai, 21 octobre 2025), un ancien développeur d’exploits iOS chez Trenchant — filiale de L3Harris — a reçu une alerte d’Apple l’informant d’un ciblage par spyware mercenaire sur son iPhone personnel, peu après son licenciement. Le développeur (pseudonyme « Jay Gibson ») dit avoir reçu la notification le 5 mars et avoir immédiatement éteint l’appareil. Il pourrait s’agir du premier cas documenté d’un concepteur d’exploits/spyware lui-même visé par un spyware. Apple n’a pas commenté. ...

Selon La Stampa (avec éléments d’IrpiMedia), la campagne de cyber‑surveillance au spyware Graphite de Paragon Solutions s’étend en Italie au‑delà des journalistes et activistes, jusqu’au financier Francesco Gaetano Caltagirone, destinataire d’une notification de sécurité WhatsApp en janvier. — Faits saillants Cible nouvelle: Francesco Gaetano Caltagirone (industriel, éditeur, actionnaire de Generali, MPS, Mediobanca) a été alerté par WhatsApp d’une tentative d’infection via attaque zero‑click. D’autres personnalités avaient déjà reçu des alertes similaires, dont des journalistes (Fanpage, Dagospia) et des activistes (Mediterranea). Méthodes d’infection: vulnérabilités zero‑click dans WhatsApp (insertion du numéro dans un groupe, partage d’un PDF, puis disparition du groupe) et dans Apple iMessage (envoi d’un fichier image). Les attaques ciblent uniquement l’appareil visé et ne nécessitent aucune interaction. Analyses et confirmations: Citizen Lab a confirmé la présence de Paragon/Graphite sur le téléphone de Ciro Pellegrino (Fanpage). Après les alertes, certains appareils ont été réinitialisés usine, effaçant aussi d’éventuelles traces forensiques. — Cadre institutionnel et enquêtes ...

Selon Straight Arrow News (SAN), un pirate se faisant appeler “wikkid” a divulgué des données de RemoteCOM — fournisseur du logiciel de surveillance SCOUT utilisé par des services de probation et de libération conditionnelle dans 49 États — sur un forum cybercriminel. Type d’incident: fuite de données consécutive à une intrusion qualifiée par l’attaquant comme “l’une des plus faciles” qu’il ait réalisées. Entreprise/produit concernés: RemoteCOM et son logiciel SCOUT (spyware de supervision judiciaire). Portée: informations sensibles sur des agents de probation et des personnes sous contrôle judiciaire. Impact et données exposées: ...

Selon Straight Arrow News (SAN), des données de RemoteCOM — éditeur du spyware SCOUT utilisé pour surveiller des personnes en pré‑procès, probation et parole — ont été publiées sur un forum de cybercriminalité. Le hacker « wikkid » a indiqué que l’intrusion faisait partie des « plus faciles » qu’il ait menées. SAN a alerté l’entreprise par téléphone avant publication ; RemoteCOM a ensuite déclaré « évaluer la situation ». ...

Selon l’Atlantic Council (Cyber Statecraft Initiative), la seconde édition 2025 du projet Mythical Beasts met à jour et étend le jeu de données public sur le marché mondial du spyware jusqu’en 2024, en soulignant une récente amende de 168 M$ infligée à NSO Group par un tribunal américain pour des attaques Pegasus contre l’infrastructure WhatsApp. 📈 Données élargies et périmètre: le dataset couvre désormais 561 entités dans 46 pays (1992–2024), avec 130 nouvelles entités (dont 43 créées en 2024). Ajouts notables: 20 investisseurs américains, 7 partenaires identifiés comme revendeurs/brokers, et 3 nouveaux pays (Japon, Malaisie, Panama). Les catégories enrichies incluent individus (55), investisseurs (34), partenaires (18), filiales (7), fournisseurs (10), deux holdings et quatre vendeurs. Par ailleurs, une catégorie « alumni » est introduite pour refléter la série d’entrepreneuriats observée. ...

The Record rapporte qu’un chercheur de Citizen Lab, John Scott-Railton, a aidé à confirmer une infection impliquant FlexiSPY, un logiciel espion (spyware) commercial. D’après Scott-Railton, FlexiSPY est plus facilement détectable que des spywares mercenaires bien plus onéreux utilisés par des États-nations, mais il dispose de capacités similaires une fois installé. L’information met en parallèle la disponibilité commerciale de FlexiSPY et la sophistication opérationnelle d’outils mercenaires plus coûteux, tout en soulignant la confirmation d’une infection par Citizen Lab. 🕵️‍♂️ ...

Selon TechCrunch (Lorenzo Franceschi-Bicchierai), l’agence américaine ICE a réactivé un contrat de 2 M$ signé en 2024 avec le fabricant israélien de spyware Paragon, en levant le stop work order imposé dans le cadre de l’examen d’un décret exécutif limitant l’usage gouvernemental de logiciels espions susceptibles de violer les droits humains ou de cibler des Américains à l’étranger. La mise à jour, datée du 30 août dans le Federal Procurement Data System, précise que la modification « lève le stop work order ». Le journaliste indépendant Jack Poulson a été le premier à signaler l’information. ...

Source: Investigace.cz — Enquête sur le rôle d’acteurs basés en Tchéquie dans la chaîne d’approvisionnement d’Intellexa (Predator), sur fond de sanctions américaines et de procès en Grèce. L’enquête met au centre Dvir Horef Hazan, entrepreneur israélien installé à Krnov (Tchéquie), qui aurait servi de fournisseur/fixeur pour Intellexa et sociétés affiliées (au moins €1,73 M versés de 2019 à début 2023). À Krnov, plusieurs de ses entités (Zambrano Trade s.r.o., Hadastech s.r.o., Shilo s.r.o.) ont expédié vers Intellexa S.A. (Grèce) du matériel réseau, SDR/USRPs, routeurs cellulaires, serveurs, onduleurs, capteurs, avec une facture initiale en 2020 pour du « matériel de labo d’occasion » et des livraisons totalisant près de €500k. Un bon d’expédition (12/2020) mentionne « 18 palettes de pièces informatiques ». Une facture du 28/07/2022 cite un paiement pour POC « Aladin », système qu’Intellexa présentait en 2022 pour des infections à distance via publicités (potentiellement zero‑click). Hazan a aussi agi comme intermédiaire pour des stands de conférences (dont ISS World Prague 2022). ...