Suivi du logiciel espion DevilsTongue de Candiru dans plusieurs pays

Remarque : la date limite d'analyse pour ce rapport était le 26 juin 2025.

Executive Summary

Insikt Group a identifié une nouvelle infrastructure associée à plusieurs clusters liés au fournisseur de logiciels espions Candiru. Cela inclut à la fois les composants destinés aux victimes, susceptibles d'être utilisés pour déployer et contrôler le logiciel espion DevilsTongue de Candiru, ainsi que l'infrastructure de niveau supérieur des opérateurs. DevilsTongue est un logiciel malveillant Windows sophistiqué et modulaire. Les groupes varient en termes de conception et d'administration, certains gérant directement les systèmes destinés aux victimes, tandis que d'autres ont recours à des intermédiaires ou au réseau Tor. Huit groupes distincts ont été identifiés, dont cinq semblent toujours actifs, notamment ceux liés à la Hongrie et à l'Arabie saoudite. Un groupe lié à l'Indonésie était actif jusqu'en novembre 2024, et deux autres associés à l'Azerbaïdjan ont un statut incertain en raison de l'absence d'infrastructures identifiées visant les victimes. Insikt Group a également identifié une société soupçonnée de faire partie du réseau d'entreprises de Candiru.

L'utilisation de logiciels espions mercenaires tels que DevilsTongue, tant au niveau national qu'international, en dehors des contextes de criminalité grave ou de lutte contre le terrorisme, pose de graves risques pour la vie privée, la sécurité et la légalité des cibles, de leurs organisations et même des opérateurs. En raison du coût élevé par déploiement (selon les estimations des chercheurs basées sur des informations commerciales divulguées), les personnes présentant une grande valeur en termes de renseignements, telles que les politiciens, les chefs d'entreprise et les personnes occupant des postes sensibles, sont souvent particulièrement exposées. Malgré les efforts réglementaires et juridiques déployés à l'échelle mondiale, notamment l'ajout de Candiru à la liste des entités du département américain du Commerce, la résolution de l'UE visant à lutter contre l'utilisation abusive des logiciels espions et l'initiative Pall Mall menée par le Royaume-Uni et la France pour définir et réglementer l'utilisation légitime, Candiru a fait preuve de résilience, ripostant par exemple en tentant d'être retiré de la liste des entités, et continue de représenter une menace importante.

À court terme, les responsables de la sécurité doivent mettre en œuvre les meilleures pratiques en matière de sécurité, notamment les mises à jour régulières des logiciels, la recherche d'indicateurs connus, les briefings de sécurité avant les déplacements et la séparation stricte des appareils personnels et professionnels. Ces mesures doivent être accompagnées d'une formation continue des employés en matière de sécurité afin de mieux comprendre les vecteurs d'infection et les capacités des logiciels malveillants et de promouvoir une culture de minimisation de l'exposition des données. À long terme, les organisations devraient investir dans des évaluations approfondies des risques afin d'élaborer des politiques de sécurité plus nuancées et plus adaptatives.

À mesure que le marché des logiciels espions mercenaires se développe, avec l'arrivée de nouveaux fournisseurs, de nouveaux produits et de nouveaux pays à la recherche de capacités cybernétiques avancées, le risque d'être pris pour cible s'étend désormais au-delà de la société civile à toute personne présentant un intérêt pour les acteurs ayant accès à ces outils ou à leurs équivalents. Parallèlement, la rentabilité soutenue, la concurrence croissante et le renforcement des défenses informatiques stimulent l'innovation, comme en témoignent les infections présumées liées à la publicité, les attaques directes contre les serveurs de messagerie et la persistance accrue (1, 2, 3). Ces tendances favorisent l'apparition de chaînes d'infection plus furtives, le ciblage des sauvegardes dans le cloud, la professionnalisation de l'écosystème des logiciels espions et l'élargissement des gammes d'outils disponibles. Une atténuation efficace nécessite donc une surveillance continue des écosystèmes, une évaluation approfondie des risques et des mesures réglementaires plus strictes de la part des décideurs politiques.

Key Findings

Background

Candiru, la société

Candiru Ltd., désormais opérant sous le nom de Saito Tech Ltd., est une société israélienne fondée en 2014 par Eran Shorer et Yaakov Weizmann. Le nom original de l'entreprise, Candiru, s'inspire d'un poisson parasite notoire, connu pour sa discrétion et son caractère envahissant, une métaphore des capacités de l'entreprise en matière de logiciels espions. Isaac Zack, l'un des premiers investisseurs du groupe NSO, aurait occupé le poste de président de Candiru. La société aurait obtenu un financement du Founders Group, un consortium d'investisseurs providentiels cofondé par Omri Lavie et Shalev Hulio, les cofondateurs du groupe NSO. Les activités liées à l'entreprise sont également suivies sous le pseudonyme SOURGUM par Microsoft. Dans ce rapport, Insikt Group utilise le nom Candiru, car il s'agit du nom le plus connu de l'entreprise.

Au fil du temps, Candiru a fréquemment déménagé ses bureaux et restructuré son enregistrement en tant que société afin de préserver le secret de ses activités (voir figure 1).

Figure 1: Chronologie des enregistrements de Candiru en tant que société (Source : Recorded Future, dérivé de Laboratoire citoyen)

Les documents judiciaires relatifs à un procès intenté par un ancien cadre supérieur ont révélé que Candiru était passée de 12 employés en 2015 à 70 en 2018. Dès 2016, l'entreprise a commencé à conclure des contrats avec des clients gouvernementaux en Europe, au Moyen-Orient, en Asie et en Amérique latine. La même année, elle aurait généré 10 millions de dollars de revenus, qui sont passés à 20-30 millions de dollars en 2018, avec 367 millions de dollars supplémentaires en contrats en cours impliquant 60 clients gouvernementaux. Les négociations étaient souvent menées par l'intermédiaire d'intermédiaires locaux.

En 2017, Candiru aurait commencé à développer des logiciels espions pour appareils mobiles, une information confirmée par la suite par le journal israélien Haaretz, qui s'appuyait sur des documents internes divulgués. La même année, Candiru s'est réenregistrée sous le nom de DF Associates Ltd. (ד. Associés à Beym.

En 2018, la société a changé de nom pour devenir Grindavik Solutions Ltd. (גרינדוויק פתרונות בעיימ).

En 2019, Candiru était évaluée à environ 90 millions de dollars, suite à la vente d'une participation de 10% par le capital-risqueur Eli Wartman à Universal Motors Israel (UMI). Des rapports font également état d'investissements provenant du fonds souverain qatari. La même année, Vice News a rapporté que Kaspersky Lab avait identifié le logiciel espion Candiru utilisé par les services de sécurité de l'État ouzbèk (SSS). Le SSS aurait utilisé le logiciel antivirus Kaspersky pour tester la furtivité du logiciel espion et aurait configuré un domaine officiel du gouvernement ("itt[.]uz"). pour ses communications C2. Cette fuite a permis d'identifier d'autres clients de Candiru, notamment l'Arabie saoudite et les Émirats arabes unis (EAU). La société a également changé de nom en 2019 pour devenir Taveta Ltd. (טאבטה בעיימ).

En 2020, la société a créé une filiale nommée Sokoto. La même année, le conseil d'administration de Candiru comprenait les fondateurs Shorer et Weizmann, le président Isaac Zack et un représentant d'Universal Motors Israel. Candiru a également changé de nom pour devenir Saito Tech Ltd. (סאייטו טק בעיימ).

En 2021, les documents déposés par la société mentionnaient Universal Motors Israel, ESOP Management and Trust Services Ltd. (qui gère les programmes d'actionnariat salarié) et Optas Industry Ltd. (mandataire du fonds qatari) en tant qu'actionnaires minoritaires.

En avril 2021, la société de cybersécurité ESET a découvert une opération d'espionnage utilisant le logiciel espion Candiru dans le cadre d'une attaque de type « watering hole » visant le média britannique Middle East Eye, des médias associés aux Houthis et au Hezbollah, ainsi qu'un média probablement dissident en Arabie saoudite. Parmi les autres victimes figuraient les sites web d'une ambassade iranienne, d'entreprises aérospatiales italiennes et sud-africaines, ainsi que les sites web des gouvernements syrien et yéménite.

En juillet 2021, Citizen Lab et Microsoft ont révélé que le logiciel espion Candiru avait été largement déployé par plusieurs clients gouvernementaux, compromettant au moins 100 victimes dans le monde. Les cibles comprenaient des politiciens, des défenseurs des droits de l'homme, des journalistes, des universitaires, du personnel diplomatique et des dissidents politiques. Microsoft a indiqué qu'environ la moitié des victimes observées se trouvaient en Palestine. Les autres victimes se trouvaient en Israël, en Iran, au Liban, au Yémen, en Espagne (Catalogne), au Royaume-Uni, en Turquie, en Arménie et à Singapour. L'infrastructure du logiciel espion a été retracée dans plusieurs pays, notamment en Arabie saoudite, en Israël, aux Émirats arabes unis, en Hongrie et en Indonésie. Les domaines utilisés par Candiru fournissent également des indices sur les cibles visées. Les domaines ont usurpé l'identité de médias internationaux, d'organisations militantes (notamment Black Lives Matter, Amnesty International et Refugees International), d'événements consacrés aux études de genre (notamment une conférence sur le sujet) et d'organisations internationales (notamment le Bureau de l'Envoyé spécial du Secrétaire général pour le Yémen, l'ONU et l'OMS).

En novembre 2021, le département américain du Commerce a ajouté Candiru et NSO Group à sa liste d'entités, invoquant leur rôle dans la fourniture de logiciels espions à des gouvernements étrangers engagés dans des activités malveillantes.

En avril 2022, Citizen Lab a signalé que des membres du mouvement indépendantiste catalan avaient été ciblés par le logiciel espion Candiru dans le cadre d'une opération de surveillance nationale autorisée par le gouvernement espagnol (voir figure 2). La campagne aurait notamment consisté à surveiller des élus et des militants politiques. Candiru a été spécifiquement utilisé pour cibler quatre Catalans travaillant dans les communautés open source et du vote numérique. Un technologue catalan, Elies Campo, a reçu un e-mail contenant un lien qui, s'il avait été cliqué, aurait entraîné une infection par Candiru alors qu'il résidait aux États-Unis et disposait d'une carte SIM américaine sur son appareil. De plus, Citizen Lab a signalé que des utilisateurs de réseaux sociaux saoudiens auraient été ciblés.

Figure 2: Chronologie des attaques visant Candiru (Source : Recorded Future)

Nouvelle société suspecte après acquisition

En avril 2025, le site d'information technologique CTech a annoncé que Candiru avait été racheté quelques mois plus tôt par Integrity Partners pour un montant de 30 millions de dollars. Il convient de noter qu'Integrity Partners, une société d'investissement américaine dont l'un des associés est Elad Yoran (frère d'Amit Yoran, ancien PDG de Tenable), avait également fait une offre pour acquérir NSO Group, le développeur du logiciel espion Pegasus.

Le rapport indique qu'Integrity Partners a acquis les actifs de Candiru et les a transférés, ainsi que tous les employés de la société, à une nouvelle entité qui n'est actuellement pas soumise à des sanctions du gouvernement américain. Au moment de la rédaction du rapport, la première phase de l'accord était déjà achevée, impliquant le transfert des employés vers la nouvelle entité pour un montant de 10 millions de dollars. La deuxième phase, qui comprend le transfert des licences d'exportation de Candiru, sera finalisée une fois que les autorisations nécessaires auront été obtenues.

Il convient de noter que les enregistrements WHOIS associés à Nerfwall, un pseudonyme lié à Candiru, ont permis à Insikt Group d'identifier le domaine integrity-labs[.]ltd, enregistré le 31 mars 2025. Dans ce contexte, Insikt Group a également identifié une société privée israélienne nommée Integrity Labs Ltd (אינטגריטי לאבס בע~מ), constituée le 18 décembre 2024, sous le numéro d'entreprise 517081089 et basée à Herzliya, en Israël. La société est dirigée par Naftali Yoran, d'après les informations contenues dans les rapports d'entreprise obtenus par Recorded Future. Des informations provenant de sources ouvertes indiquent qu'Elad Yoran est également connu sous le nom de Naftali Yoran.

Modèle de licence

Une proposition de projet Candiru divulguée et publiée par TheMarker, un média d'information israélien, suggère que, à l'instar d'autres fournisseurs de logiciels espions tels qu'Intellexa, Candiru accorde des licences pour ses logiciels espions en fonction du nombre d'infections simultanées, c'est-à-dire le nombre de cibles pouvant être activement surveillées à un moment donné. Par exemple, une proposition de 16 millions d'euros autorise un nombre illimité de tentatives d'infection, mais limite la surveillance à dix appareils simultanément. Les clients peuvent étendre cette capacité : pour 1,5 million d'euros supplémentaires, ils peuvent surveiller quinze appareils supplémentaires et obtenir l'autorisation de cibler un pays supplémentaire ; pour 5,5 millions d'euros, ils peuvent surveiller 25 appareils supplémentaires et opérer dans cinq pays supplémentaires (voir figure 3). Une mise à niveau supplémentaire de 1,5 million d'euros offre une fonctionnalité de shell à distance, permettant un accès complet en ligne de commande aux appareils infectés, ce qui soulève des préoccupations particulières en raison de son utilisation potentielle pour télécharger des fichiers ou implanter du contenu compromettant.

Figure 3: Options tarifaires de Candiru (Source : Laboratoire citoyen)

La proposition divulguée précise en outre que le produit est destiné à être utilisé uniquement dans des « territoires convenus », énumérant explicitement les États-Unis, la Russie, la Chine, Israël et l'Iran comme pays soumis à des restrictions. Malgré ces restrictions, Microsoft a identifié des victimes de Candiru en Iran et en Israël, ce qui indique que ce logiciel espion pourrait, dans certains cas, être déployé au-delà des régions officiellement sanctionnées. Pour corroborer ces informations, l'infrastructure de ciblage analysée dans le rapport du Citizen Lab de 2021 comprend des domaines usurpant l'identité du service postal russe. Ce rapport détaille également le ciblage d'un technologue catalan alors qu'il résidait aux États-Unis, comme mentionné précédemment.

Langue du diable

DevilsTongue, le nom donné par Microsoft au logiciel espion développé par Candiru pour Windows, est un logiciel malveillant complexe, modulaire et multithread, écrit en C et C++, doté d'un large éventail de fonctionnalités. La plupart des informations disponibles sur DevilsTongue proviennent de l'analyse de Microsoft et d'une proposition de projet Candiru divulguée par TheMarker. Toutefois, compte tenu de la longue liste de composants et de fonctionnalités suspects, ainsi que de l'ancienneté des deux rapports, Insikt Group estime que les capacités du logiciel malveillant ont probablement évolué depuis lors.

Les documents divulgués révèlent que le logiciel espion de Candiru a été conçu pour accéder en profondeur aux appareils des victimes, permettant l'extraction de fichiers, la collecte de données de navigation et même le vol de messages cryptés à partir de l'application de bureau Signal Messenger. La figure 4 présente un extrait de la proposition de projet Candiru divulguée, décrivant les capacités spécifiques du logiciel espion sous Windows.

Figure 4: Capacités de Candiru sur les appareils Windows (Source : Laboratoire citoyen)

Selon l'analyse détaillée de Microsoft, DevilsTongue est un logiciel malveillant furtif doté de composants en mode utilisateur et en mode noyau. Il maintient sa persistance via le détournement COM en remplaçant le chemin d'accès DLL d'une clé de registre COM légitime par une DLL de premier niveau déposée dans C:\Windows\system32\IME\, et stocke les charges utiles cryptées de deuxième niveau dans le répertoire de configuration. Un pilote tiers signé (physmem.sys) permet l'accès à la mémoire au niveau du noyau et le proxy des appels API afin d'éviter toute détection. Afin de préserver la stabilité du système, DevilsTongue réinjecte la DLL COM d'origine lors du détournement, en dissimulant cette action grâce à la manipulation du shellcode de la valeur de retour LoadLibraryExW. Toutes les charges utiles supplémentaires sont déchiffrées et exécutées uniquement en mémoire, ce qui permet au logiciel malveillant de voler les identifiants de LSASS et des navigateurs, d'accéder aux messages Signal et d'utiliser les cookies du navigateur pour usurper l'identité des victimes sur des plateformes telles que Facebook, Gmail et VK. L'utilisation par le logiciel malveillant de métadonnées effacées, d'un cryptage et de hachages uniques pour chaque fichier complique encore davantage la détection et l'analyse.

Chevauchement avec CHAINSHOT

CHAINSHOT est un kit d'exploitation précédemment associé à Candiru. Il a été observé utilisé par des groupes de cybercriminels tels que Stealth Falcon et SandCat, ce dernier étant soupçonné d'être lié au gouvernement ouzbek. SandCat a suscité une attention particulière en 2019 en raison d'une série d'erreurs de sécurité opérationnelle qui ont non seulement révélé plusieurs vulnérabilités zero-day, mais ont également permis d'attribuer directement ces attaques au Service de sécurité de l'État (SSS) ouzbek. Il convient de noter qu'un autre acteur malveillant connu sous le nom de PuzzleMaker a également été mentionné en relation avec CHAINSHOT, en raison de l'utilisation d'une technique rare, mais probablement pas exclusive. Bien que le lien entre CHAINSHOT et Candiru ait été initialement circonstanciel, les chercheurs du Citizen Lab ont par la suite établi un lien plus clair. Ils ont identifié une empreinte digitale commune, y compris une adresse IP correspondante, qui reliait l'URL finale de livraison du logiciel espion CHAINSHOT à l'infrastructure documentée dans un rapport de 2018 de Palo Alto Networks, renforçant ainsi le lien entre CHAINSHOT et Candiru.

Vecteurs d'accès initiaux

Selon les documents divulgués mentionnés ci-dessus, le logiciel espion Candiru peut être déployé via plusieurs vecteurs, notamment des liens malveillants, des fichiers piégés, des attaques de type « man-in-the-middle » (MitM) et un accès physique. Toutefois, d'après les informations dont dispose actuellement Insikt Group, les rapports publics n'ont confirmé l'utilisation que des deux premiers vecteurs dans les cas documentés d'infections liées au Candiru, bien qu'il soit très probable que les autres vecteurs aient également été utilisés. En ce qui concerne les liens malveillants, Candiru a utilisé à la fois des liens contrôlés par des acteurs, tels que des e-mails de spearphishing et des compromissions stratégiques de sites web connues sous le nom d'attaques de type « watering hole », pour diffuser son logiciel espion. Les infections impliquent généralement des exploits qui ciblent les navigateurs web (1, 2).

Par exemple, le groupe d'analyse des menaces (TAG) de Google a révélé en 2021 que deux vulnérabilités zero-day d'exécution de code à distance du moteur de rendu Google Chrome (CVE-2021-21166 et CVE-2021-30551) avaient été exploitées par Candiru. Ces exploits ont été distribués via des liens à usage unique envoyés à des cibles spécifiques, qui seraient situées en Arménie. Les liens redirigeaient les destinataires vers des domaines contrôlés par les attaquants, qui usurpaient l'identité de sites Web légitimes correspondant aux centres d'intérêt des victimes. Google TAG a découvert que CVE-2021-21166 affectait également WebKit, ce qui a incité Apple à le corriger sous le nom CVE-2021-1844 ; toutefois, rien n'indique qu'il ait été utilisé contre les utilisateurs de Safari.

En avril 2021, Google TAG a identifié une campagne visant les utilisateurs arméniens avec des documents Office malveillants qui chargeaient du contenu Web via Internet Explorer. Ceci a été réalisé soit en intégrant un objet ActiveX distant à l'aide d'un objet OLE Shell.Explorer.1, soit en lançant un processus Internet Explorer via des macros VBA pour accéder à une page Web. Après une phase d'empreinte digitale, les cibles ont été exposées à une faille zero-day d'Internet Explorer, qui a ensuite été identifiée sous le nom CVE-2021-33742 et corrigée par Microsoft en juin 2021. L'analyse de TAG indique que les exploits Internet Explorer ont été développés et fournis par la même entité responsable des exploits Google Chrome mentionnés précédemment.

En juillet 2022, Avast a signalé que CVE-2022-2294, une vulnérabilité de type « heap buffer overflow » (débordement de la mémoire tampon) à haut niveau de gravité dans WebRTC au sein de Google Chrome, avait été exploitée pour exécuter du code shell dans le processus de rendu du navigateur, ciblant les utilisateurs du Moyen-Orient. L'exploit, spécialement conçu pour Windows, a probablement été associé à une technique d'évasion de sandbox, bien que l'exploit de deuxième phase n'ait pas pu être récupéré. Au Liban, les attaquants ont compromis un site Web utilisé par les employés d'une agence de presse, qui présentait des signes d'attaques persistantes de type « cross-site scripting » (XSS), probablement dans le cadre de leur phase de test, avant d'injecter finalement du code JavaScript malveillant à partir d'un domaine contrôlé par les attaquants. Ce code injecté redirigeait de manière sélective les victimes visées vers le serveur d'exploitation via une chaîne de domaines contrôlés par les attaquants. Avant le rapport d'Avast, ESET avait signalé des compromissions stratégiques sur le Web à travers le Moyen-Orient, en particulier au Yémen, qu'ils attribuaient à Candiru avec un niveau de confiance moyen.

Au-delà des vecteurs mentionnés précédemment, des rapports datant de 2023 indiquent que Candiru disposait également d'une capacité appelée Sherlock. Sherlock est un logiciel de surveillance commerciale développé par le fabricant de logiciels israélien Insanet, capable d'infecter les appareils fonctionnant sous Windows, Android et iOS. Contrairement aux logiciels espions traditionnels qui exploitent les vulnérabilités des logiciels, Sherlock utilise la publicité programmatique pour diffuser sa charge utile. En plaçant des publicités malveillantes via des plateformes publicitaires, il est possible de cibler des individus spécifiques en fonction de leurs données démographiques et de leur emplacement géographique, ce qui conduit à l'installation secrète de logiciels espions lorsque la publicité s'affiche sur l'appareil d'un utilisateur.

To read the entire analysis, click here to download the report as a PDF.