Le gouvernement malgache a probablement utilisé le logiciel espion Predator développé par Cytrox pour effectuer une surveillance politique intérieure avant l’élection présidentielle du pays, selon une étude réalisée par Sekoia.
La dernière analyse technique de l’infrastructure de Cytrox par la société française de renseignement sur les menaces Sekoia a été motivée par les récentes révélations selon lesquelles Predator avait été installé sur l’iPhone de l’ancien député égyptien Ahmed Eltantawy.
Citizen Lab, un laboratoire de recherche technologique basé à l’Université de Toronto, a découvert qu’en août et septembre 2023, Eltantawy a été ciblé par une injection basée sur le réseau, le redirigeant vers des pages web malveillantes lorsqu’il a visité des sites non-HTTPS en exploitant une chaîne d’exploitation zero-day (CVE-2023-41991, CVE-2023-41992, CVE-2023-41993) utilisée pour installer Predator sur les versions iOS jusqu’à la 16.6.1.
Cytrox est une filiale d’Intellexa, une société de surveillance fondée par des Israéliens et basée en Grèce, responsable du développement de plusieurs logiciels espions, dont Predator.
Sekoia a trouvé une liste de serveurs privés virtuels (VPS) liés à de faux raccourcisseurs d’URL ou à des sites web malveillants, y compris des sites d’actualités « typosquattés ». Ces sites sont probablement utilisés comme points d’entrée pour des kits d’exploitation.
« Au final, 121 noms de domaine actifs uniques ont été trouvés, liés avec un degré de confiance élevé à un groupe d’infrastructures lié à l’ensemble d’intrusions Lycantrox », peut-on lire dans le rapport. Lycantrox est le nom donné par Sekoia lors du suivi de l’infrastructure Cytrox.
Certains noms de domaine étaient liés à des sites web basés à Madagascar, notamment des blogs WordPress contenant de véritables articles tirés du journal malgache Midi Madagasikara.
Sur la base de ces résultats et de l’existence présumée d’un contrat entre Intellexa et le gouvernement malgache pour la collecte et le traitement de données d’interception, précédemment rapportée par Intelligence Online, Sekoia a estimé qu’il était « plausible que les services du gouvernement malgache – tels que la police ou les services de renseignement intérieur – aient acheté et exploité le logiciel malveillant Predator de Cytrox pour effectuer une surveillance politique intérieure, plusieurs mois avant les élections ».
Quels sont les gouvernements liés au logiciel espion Predator ?
Dans son rapport, Sekoia a également trouvé des noms de domaine liés à une adresse IP typosquattée de Jubi TV, un média d’opposition indonésien de la province de Papouasie occidentale, et des sites web de médias angolais. L’entreprise a estimé qu’il était « possible » que les régimes de ces deux pays utilisent le logiciel espion Predator.
D’autres noms de domaine trouvés par les chercheurs de Sekoia étaient situés en Égypte, au Portugal, au Kazakhstan et dans le golfe Persique.
L’entreprise estime que ces résultats inédits concernant l’utilisation de Predator pourraient être attribués au fait que Cytrox a récemment renforcé ses serveurs mandataires inversés.
« Parfois, un durcissement trop important peut être discriminatoire du point de vue du défenseur, comme nous pouvons le voir avec cette corrélation », écrivent les chercheurs.
Les utilisateurs de téléphones portables qui souhaitent vérifier la présence de noms de domaine utilisés par Cytrox pour déployer Predator peuvent télécharger les applications « MVT for analysis » ou « Spyguard ».
source d’origine de l’article ici
