Campagne mondiale d'espionnage mobile Dark Caracal

Une campagne de cyberespionnage pluriannuelle liée à la Direction générale de la Sûreté générale libanaise (GDGS) a dérobé des centaines de gigaoctets de données à des milliers de victimes dans plus de 21 pays, au moyen d'applications Android piégées et de logiciels malveillants pour ordinateurs.

Le 18 janvier 2018, l'Electronic Frontier Foundation (EFF) et la société de sécurité mobile Lookout ont publié Dark Caracal : Cyber-espionage at a Global Scale, dévoilant l'une des premières campagnes de surveillance mobile étatique publiquement documentées. Les opérateurs avaient dérobé des centaines de gigaoctets de données à des milliers de victimes réparties dans plus de 21 pays — et les chercheurs ont retracé l'infrastructure de commande jusqu'à un bâtiment appartenant à la Direction générale de la Sûreté générale (GDGS) libanaise, à Beyrouth.

Ce qui s'est passé

Dark Caracal s'appuyait principalement sur l'ingénierie sociale et l'hameçonnage plutôt que sur de coûteuses failles « zero-day ». Les victimes étaient appâtées — souvent via des groupes Facebook, des messages WhatsApp et des pages-pièges — vers de faux portails de boutiques d'applications qui distribuaient des applications Android piégées imitant des messageries chiffrées populaires telles que Signal, WhatsApp, Telegram et Threema. Ces applications recompilées fonctionnaient normalement, mais embarquaient un implant sur mesure que Lookout a nommé Pallas.

Une fois installé, Pallas pouvait exfiltrer les SMS, les journaux d'appels, les contacts, les photos, l'historique de navigation et les identifiants ; enregistrer le son en silence ; capturer la caméra ; et siphonner les bases de données WhatsApp et autres messageries. L'implant pouvait aussi envoyer des SMS contrôlés par l'attaquant afin de se propager. Côté ordinateurs, l'acteur a réutilisé des outils bien connus, notamment Bandook et des composants proches de FinFisher, ainsi que CrossRAT, un cheval de Troie Java multiplateforme capable d'infecter Windows, macOS et Linux.

Impact

Des milliers de victimes dans plus de 21 pays, dont le Liban, le Qatar, l'Arabie saoudite, les États-Unis, la France, l'Allemagne, la Russie, la Chine et le Népal.
Les cibles comprenaient des militaires, des responsables gouvernementaux, des militants, des journalistes, des avocats et des établissements d'enseignement.
Des centaines de gigaoctets de données dérobées — documents juridiques, enregistrements audio, journaux de conversation, photos et historiques de navigation complets — en grande partie retrouvées sur un serveur mal configuré et exposé sur Internet, ce qui a en partie permis aux chercheurs de cartographier l'opération.

Attribution

L'EFF et Lookout ont relié la campagne à la GDGS après avoir corrélé les serveurs de commande et de contrôle du logiciel malveillant avec des réseaux Wi-Fi et des adresses IP physiquement situés à l'intérieur d'un bureau de la GDGS à Beyrouth. Les chercheurs ont pris soin de préciser qu'ils ne pouvaient pas prouver si cela reflétait une politique officielle de la GDGS ou l'œuvre d'un employé indélicat, mais la preuve de géolocalisation était directe. La même infrastructure présentait des recoupements avec d'autres activités d'États-nations, laissant entrevoir un outillage d'attaque partagé ou loué commercialement.

Pourquoi c'est important

Dark Caracal a démontré qu'une opération mondiale et persistante d'espionnage mobile pouvait être menée à bas coût, sans « zero-day », en misant sur des applications piégées et la tromperie humaine. Ce fut l'une des premières campagnes à placer une agence de renseignement gouvernementale précise au cœur d'une surveillance Android à grande échelle, et elle a préfiguré l'ère des logiciels espions mercenaires (Pegasus de NSO Group, etc.) en montrant comment des acteurs étatiques peu dotés pouvaient parvenir à une compromission mobile de masse. La négligence des opérateurs dans la gestion de leurs serveurs — laisser des téraoctets de butin accessibles publiquement — est aussi devenue un cas d'école de l'attribution par les défaillances de sécurité opérationnelle.

Chronologie

1 janvier 2012

Première activité de Dark Caracal identifiée par les chercheurs ; l'infrastructure sera plus tard reliée à un bâtiment de la GDGS à Beyrouth.

1 janvier 2015

La campagne monte en puissance et déploie l'implant Android « Pallas » via des applications de messagerie piégées diffusées par de fausses pages de boutiques d'applications et d'hameçonnage.

1 juillet 2017

Lookout et l'EFF corrèlent l'infrastructure de commande et de contrôle à des réseaux Wi-Fi et des adresses IP situés à l'intérieur d'un bureau de la GDGS libanaise à Beyrouth.

18 janvier 2018

L'EFF et Lookout publient « Dark Caracal : Cyber-espionage at a Global Scale », révélant des milliers de victimes dans plus de 21 pays et des centaines de gigaoctets de données dérobées.

18 janvier 2018

Les chercheurs notent que la même infrastructure de serveurs était aussi utilisée par les acteurs Pawn Storm / d'États-nations, ce qui suggère un outillage partagé ou loué.

Sources

eff.orghttps://www.eff.org/press/releases/eff-and-lookout-uncover-new-malware-espionage-campaign-infecting-thousands-around

en.wikipedia.orghttps://en.wikipedia.org/wiki/Dark_Caracal

cyberscoop.comhttps://cyberscoop.com/hackers-linked-lebanese-government-caught-global-cyber-espionage-operation/

schneier.comhttps://www.schneier.com/blog/archives/2018/01/dark_caracal_gl.html

helpnetsecurity.comhttps://www.helpnetsecurity.com/2018/01/19/dark-caracal/

Incidents liés

EspionnageContenu16 mars 2026

Cyberattaque liée à l'Iran contre LA Metro (LACMTA) (2026)

Des pirates liés à l'Iran ont compromis l'agence de transport LA Metro en mars 2026, dérobant au moins 700 Go de données internes et perturbant l'information voyageurs et la billettique TAP.

Victim: Los Angeles County Metropolitan Transportation Authority

EspionnageRésolu28 mai 2025

Cyberespionnage APT31 contre le ministère tchèque des Affaires étrangères

Le gouvernement tchèque a publiquement attribué à APT31, un groupe lié au ministère de la Sécurité d'État de Chine, une campagne de cyberespionnage de plusieurs années contre un réseau non classifié de son ministère des Affaires étrangères. L'intrusion, active depuis au moins 2022, visait une infrastructure critique nationale désignée.

Victim: Czech Ministry of Foreign Affairs

EspionnageContenu4 octobre 2024

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim: Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)

EspionnageContenu15 mai 2023

Vol de clé de signature Microsoft par Storm-0558 et accès aux courriels du gouvernement américain (2023)

Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.

Victim: Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)