La Cybersecurity and Infrastructure Security Agency (CISA) revient sur les principales campagnes de cyberespionnage menées via des logiciels espions et ayant pour cible des « individus de grande valeur ». L’occasion pour l’organisme américain de détailler les principaux modes d’intrusion exploités par les pirates.

LANDFALL, ClayRat ou encore ProSpy… Ces noms ne vous disent peut-être rien, et pourtant, ils sont au cœur des préoccupations de la CISA, l’agence américaine chargée de protéger les infrastructures critiques et de renforcer la cybersécurité aux États-Unis.

Et pour cause, ces logiciels espions seraient activement utilisés par plusieurs groupes malveillants pour cibler les utilisateurs d’applications de messagerie instantanée réputées pour leur chiffrement, comme WhatsApp ou Signal.

Les cibles de ces attaques ne sont pas anodines. Selon la CISA, elles incluent des « individus de grande valeur », parmi lesquels figurent des hauts responsables gouvernementaux, des militaires, des personnalités politiques, qu’ils soient en poste ou non, ainsi que des organisations issues de la société civile.

Au-delà du simple constat, l’institution américaine profite de ce billet d’alerte publié le 24 novembre 2025 pour mettre en lumière les techniques d’intrusion utilisées par les pirates.

Bitdefender-Numerama_Logo-250x368_Noir
Bitdefender-Numerama_1325x492
La référence de la cybersécurité à prix cassé
Sécuriser ses achats du Black Friday et de Noël n’a jamais été aussi simple et abordable. Considéré comme l’une des plus efficace du marché, la solution Bitdefender Ultimate Security est pendant quelques jours à -58 %.
Seulement en ce moment à -58% !

Les attaques par ingénierie sociale

La CISA recense plusieurs « techniques sophistiquées de ciblage et d’ingénierie sociale », différentes selon l’acteur malveillant et le type de campagne, certaines n’utilisant même pas de logiciel malveillant de façon directe.

Par exemple, une campagne menée par des groupes liés à la Russie cible spécifiquement l’application Signal, très prisée par les profils à haut risque.

Logo de la CISA // Source : cisa.gov
Logo de la CISA. // Source : cisa.gov

Détectée par Google Threat Intelligence en février 2025, elle s’appuie sur la fonctionnalité « appareils connectés » de Signal : la victime est incitée à scanner un QR code frauduleux, ce qui connecte son compte Signal à un appareil contrôlé par l’attaquant. Ce dernier reçoit alors en temps réel tous les messages de la victime, sans qu’il soit nécessaire d’infecter le téléphone ni qu’il reste de traces flagrantes sur l’appareil.

D’autres campagnes reposent sur l’usurpation d’applications par des logiciels espions commerciaux. ProSpy, par exemple, mime des applications légitimes telles que Signal ou TikTok. Les victimes sont invitées à télécharger des versions piégées depuis de faux sites web, dont certains imitent des plateformes comme le Samsung Galaxy Store. Une fois installés, ces malwares établissent un accès persistant sur les appareils Android et exfiltrent les données personnelles.

ClayRat cible principalement des utilisateurs en Russie via des chaînes Telegram malveillantes et des campagnes d’hameçonnage : le malware usurpe l’identité d’applications connues comme WhatsApp ou Google Photos pour inciter les utilisateurs à les installer et à leur livrer l’accès à leurs informations sensibles.

Les attaques dites « zero-click »

Certaines attaques plus avancées exploitent des failles dites « zero-click » : elles permettent à un logiciel espion de s’installer sans aucune action de l’utilisateur. C’est le cas de Pegasus, ciblant aussi bien iOS qu’Android via des vulnérabilités nichées dans le système. Ces failles permettent au code malveillant de s’exécuter, d’installer le spyware et de donner à l’attaquant le contrôle total du smartphone, sans trace apparente ni intervention de la victime.​

LANDFALL, de son côté, cible les Samsung Galaxy en exploitant une faille spécifique dans le traitement des images DNG par la bibliothèque Android. Une image piégée, souvent reçue via WhatsApp, provoque automatiquement l’exploitation de la faille : le spyware s’installe discrètement et permet l’accès aux messages, contacts et contenus du téléphone, sans le moindre clic de l’utilisateur.

La CISA souligne que la plupart des campagnes d’espionnage sont menées de façon ciblée, mais l’agence met également en garde contre l’aspect opportuniste des cybercriminels, susceptibles d’attaquer dès qu’une occasion se présente.

Les logiciels espions sont déployés sans distinction géographique. Les campagnes citées précédemment ont ciblé des individus aux États-Unis, en Russie, en Europe et au Moyen‑Orient.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !