Le spyware Predator reprend du poil de la bête

Suite à l'action du gouvernement américain, l'activité du logiciel espion Predator a semblé décliner. Une récente recherche d'Insikt montre que l'infrastructure du spyware remonte en puissance avec des modifications visant à échapper à la détection et cacher plus efficacement leurs opérateurs.

Pegasus n'est pas le seul représentant de la famille des logiciels espion utilisés par les gouvernements, C'est également le cas de Predator qui avait été passé au crible par l'équipe de chercheurs en sécurité d'IBM, Talos. Pour rappel ce spyware, développé par Intellexa et vendu par Cytrox depuis 2019, s'attaque aux smartphones iOS et Android et permet d'enregistrer des appels vocaux et des sons environnants, collecter des données à partir de Signal, WhatsApp... ou encore cacher des applications ou les empêcher de fonctionner. Alors que l'on pouvait penser ce spyware moribond suite aux actions du gouvernement américain à l'encontre de son éditeur Intellexa, une analyse d'Insikt Group montre que ce n'est pas vraiment le cas.

"L'infrastructure de Predator est de retour avec des modifications permettant d'échapper à la détection et d'anonymiser les utilisateurs", prévient Insikt. "Cette résurgence met en évidence l'utilisation continue de Predator par des clients dans des pays tels que la République démocratique du Congo (RDC) et l'Angola." L'infrastructure de Predator remet donc la vie privée et la sécurité des cibles potentielles de gouvernements (politiques, lancçeurs d'alertes, membres d'ONG, journalistes...) en danger. "Avec ce retour, les opérateurs ont mis en œuvre de nouvelles méthodes pour dissimuler leurs activités, ce qui complique les efforts de traçage et d'attribution de leurs attaques", indique Insikt.

Pas d'exploit zero clic distante identifiée

Les principales améliorations opérées consistent à mieux échapper à la détection en ajoutant un niveau supplémentaire dans son système de distribution pour anonymiser plus efficacement les opérations de ses utilisateurs. "Ce changement complique la tâche des chercheurs et des défenseurs de la cybersécurité qui doivent suivre la propagation de Predator", indique le fournisseur. Ce spyware ne change pas vraiment sa recette et continuerait d'utiliser des vecteurs d'attaque un clic voire zéro clic, en exploitant les vulnérabilités du navigateur et l'accès au réseau pour s'installer sur des terminaux ciblés. "Même si aucun rapport ne fait état d'attaques zéro clic entièrement à distance, comme celles associées à Pegasus, Predator reste un outil dangereux entre les mains de ceux qui ciblent des personnes très en vue", assure Insikt.