Dans un rapport publié le 7 octobre, les chercheurs en sécurité informatique d’Amnesty International expliquent avoir identifié deux logiciels espions envoyés à un militant des droits de l’homme au Togo.
Décembre 2019 : un militant des droits de l’homme résidant au Togo reçoit une série de messages étranges sur l’application WhatsApp. Son correspondant, qui lui écrit en anglais depuis un numéro indien, tente de se faire passer pour une connaissance et lui demande d’installer une autre application de messagerie pour poursuivre la conversation.
Méfiant, l’activiste contacte Amnesty International et transmet aux experts informatiques de l’organisation le fichier d’installation. Après analyse, la « messagerie » en question dissimule surtout le logiciel espion StealJob, capable d’aspirer, à l’insu de son utilisateur, de très nombreuses informations, comme la géolocalisation ou les SMS, de capter les messages WhatsApp en temps réel et d’enregistrer les appels passés par le téléphone.
Moins d’un mois plus tard, un autre message suspect parvient au même activiste, cette fois sur sa boîte d’e-mails. Un peu plus subtil, et rédigé cette fois en français, le courriel l’incite à télécharger une pièce jointe, qui contient elle aussi un logiciel espion, pour Windows cette fois, YTY. YTY comme StealJob sont des logiciels relativement peu courants, déjà reliés par le passé à un groupe baptisé Donot Team, soupçonné d’opérer principalement depuis et vers l’Asie du Sud-Est.
Liens piégés et fichiers vérolés
Les chercheurs en sécurité informatique d’Amnesty international ont pu remonter la piste laissée par les pirates qui ont visé ce militant des droits de l’homme au Togo. Ils ont découvert une infrastructure, partiellement mal dissimulée et utilisée pour envoyer des liens piégés et des fichiers vérolés à des centaines de destinataires. Les adresses IP (Internet Protocol, l’adresse d’une machine sur le réseau) de ces cibles étaient dans leur écrasante majorité situées au Pakistan, au Cachemire et, dans une moindre mesure, en Inde et au Bangladesh. Une distribution qui correspond aux ciblages de Donot Team déjà observés par le passé.
Les serveurs identifiés par les chercheurs d’Amnesty International sont utilisés par une entreprise privée, Innefu Labs, située en Inde.