Un logiciel espion italien a été utilisé en Russie. Le chercheur qui l'a découvert : « Parce qu'il y a un État derrière tout ça. »

Il existe une forte probabilité qu'un groupe étatique soit à l'origine de l'utilisation d'un logiciel espion italien en Russie pour pirater les utilisateurs de Google Chrome. Des pirates informatiques d'État, donc. C'est la conviction de Boris Larin, chercheur principal en cybersécurité au sein de l'équipe mondiale de recherche et d'analyse de Kaspersky, le géant russe de la cybersécurité qui a détecté la menace.

Une faille de sécurité découverte dans Chrome a été exploitée début 2025 pour cibler des organisations et des entreprises en Russie et au Bélarus. L'attaque a utilisé des outils d'espionnage numérique créés par Memento Labs, une société italienne spécialisée dans les technologies de cyber-renseignement, née des cendres du célèbre groupe Hacking Team de Milan. Dans un entretien accordé à Italian Tech, un expert en informatique a expliqué que le groupe de travail chargé de surveiller et d'analyser les cybermenaces avancées pour l'entreprise « a présenté des recherches apportant des preuves reliant le successeur de Hacking Team, Memento Labs, à une nouvelle vague d'attaques de cyberespionnage ».

La découverte de cette faille de sécurité dans Chrome (une vulnérabilité zero-day , c'est-à-dire une faille non encore connue ni corrigée par les fournisseurs) a permis à un logiciel espion de contourner les mesures de sécurité du navigateur et d'exécuter du code malveillant sur l'ordinateur de la victime. Ce logiciel espion, nommé Dante, est développé par Memento Labs. « Nous avons examiné les derniers échantillons du logiciel espion HackingTeam Remote Control System (RCS) et constaté d'importantes similitudes entre les versions les plus récentes de RCS et Dante lors d'analyses menées en 2025. »

De Hacking Team à Memento Lab

RCS est un logiciel espion développé il y a plusieurs années par Hacking Team et découvert en 2015, suite à une importante cyberattaque ayant révélé ses contrats et son utilisation, souvent attribués à des gouvernements et des régimes critiqués pour violations des droits humains. « Compte tenu de la nature de la campagne ForumTroll (nom de la campagne de piratage du logiciel espion Dante), axée sur le cyberespionnage, de ses objectifs et de sa capacité à utiliser le logiciel de Memento Labs, nous pouvons affirmer avec une quasi-certitude qu'un groupe étatique est à l'origine de ForumTroll », soutient Larin. Cependant, on ignore tout de ce groupe et de l'État pour lequel il travaillait.

Paolo Lezzi, PDG de Memento Labs, a confirmé l'utilisation de son logiciel espion dans la campagne ForumTroll. « Il est clair qu'ils ont utilisé un agent déjà désactivé », a-t-il déclaré à TechCrunch, utilisant le terme technique « agent » pour désigner un logiciel espion installé sur l'ordinateur de la cible. « Je pensais que le client ne l'utilisait plus », a ajouté Lezzi.

Un groupe qui connaît le russe, mais qui n'est pas russe.

Le groupe, explique-t-on, se distingue par sa maîtrise du russe et sa connaissance des subtilités locales, des caractéristiques que Kaspersky a déjà observées lors d'autres campagnes liées à cette menace. « Toutefois, quelques erreurs ponctuelles laissent penser que les attaquants n'étaient pas des locuteurs natifs », ajoute le chercheur. Kaspersky est un géant russe de la cybersécurité. Souvent critiqué en Occident pour ses liens étroits avec le Kremlin, ses recherches sont néanmoins généralement considérées comme fiables et faisant autorité dans le domaine de la cybersécurité.

« Chez Kaspersky, notre priorité absolue est la sécurité et la confidentialité de nos utilisateurs », ajoute le chercheur, avant de conclure : « Nous sommes convaincus que chaque utilisateur a droit à une expérience numérique sécurisée, et nos produits et services sont conçus pour le garantir. Nous nous opposons fermement à toutes les formes de cyberattaques et nous nous efforçons de les identifier et de les contrer, quels que soient leur origine ou leur objectif. »