Une opération de cyberespionnage russe cible l’Ukraine via de fausses données caritatives et de vérification satellite
Une nouvelle campagne de cyberespionnage liée à la Russie utilise des leurres sophistiqués impliquant la célèbre fondation caritative ukrainienne « Повернись живим » (« Reviens vivant ») et le système de vérification des terminaux internet par satellite Starlink. Détectée en février 2026, cette opération diffuse un cheval de Troie baptisé DrillApp, permettant aux pirates d’exfiltrer des fichiers, d’enregistrer l’audio via le microphone et de capturer des images depuis la webcam des ordinateurs infectés.
Selon un rapport de la société de cybersécurité Lab52, les attaquants ont déployé ce logiciel malveillant en le faisant passer pour des communications légitimes de l’organisation caritative, qui soutient les forces armées ukrainiennes, ainsi que pour des données liées à la procédure de vérification des terminaux Starlink. Cette dernière a été instaurée par les autorités ukrainiennes début février après que Moscou a commencé à équiper ses drones de cette technologie. Le malware, une fois exécuté via le navigateur Microsoft Edge, offre un accès complet au système de la victime.
Les chercheurs attribuent cette campagne au groupe hacker russe connu sous les noms de Laundry Bear ou Void Blizzard, actif depuis au moins 2024. Ce dernier a déjà ciblé des institutions ukrainiennes et des pays membres de l’OTAN. L’analyse de Lab52 souligne que les techniques employées, notamment l’utilisation de pièges philanthropiques et l’hébergement de composants malveillants sur des services publics de partage de texte, sont récurrentes dans les opérations de ce groupe.
Une tactique exploitant la confiance et les outils légitimes
L’opération repose sur l’ingénierie sociale et l’exploitation de faiblesses structurelles. En usurpant l’identité d’une ONG de confiance et en imitant un processus gouvernemental de vérification technique, les hackers russes cherchent à tromper la vigilance des utilisateurs. Le recours au navigateur Edge comme vecteur est particulièrement insidieux : les navigateurs disposent d’un accès légitime aux périphériques sensibles (caméra, microphone), ce qui complique la détection par les antivirus.
Les experts notent que le logiciel espion semble encore être en phase de développement précoce, indiquant que ses créateurs expérimentent de nouvelles méthodes pour contourner les défenses. Deux versions légèrement différentes, différant principalement par le thème du leurre, ont été identifiées. Cette agilité et cette volonté d’innover démontrent la nature persistante de la menace.
Des liens patents avec le renseignement militaire russe
Laundry Bear n’agit pas en isolé. Les chercheurs en sécurité observent des similitudes frappantes entre ses tactiques et celles de l’APT28, également appelé Fancy Bear, un groupe notoire lié à la direction du renseignement militaire russe (GRU). Ce chevauchement confirme le caractère étatique et coordonné de ces activités de cyberespionnage, qui s’inscrivent pleinement dans la guerre hybride menée par le Kremlin.
La cible ukrainienne sert de terrain d’essai, mais le spectre plus large des attaques du groupe, incluant des pays de l’OTAN, constitue un signal d’alarme pour l’ensemble de l’Europe. Les techniques affinées aujourd’hui contre les infrastructures militaires et civiles ukrainiennes pourraient être déployées demain contre des infrastructures critiques occidentales. Cette menace souligne l’impérieuse nécessité d’une coopération étroite et d’un partage d’informations en temps réel entre le CERT-UA ukrainien, les chercheurs occidentaux et les agences de cybersécurité européennes.
