Le FBI et le SBU enquêtent sur une campagne russe de cyberespionnage ciblant des responsables en Ukraine, en Europe et aux États-Unis

Le SBU indique que les attaquants tentent principalement de pénétrer des comptes sur des applications de messagerie populaires, cherchant à accéder à des informations militaires, politiques et économiques sensibles, ainsi qu'à des données privées d'utilisateurs.

Selon des responsables ukrainiens, les pirates se font souvent passer pour le support technique ou des robots de service automatisés. Ils envoient des messages de phishing conçus pour inciter les gens à fournir des mots de passe ou des codes de vérification. Dans de nombreux cas, ces messages sont envoyés tôt le matin, lorsque les utilisateurs sont moins attentifs et plus susceptibles de cliquer sans vérifier les détails.

Cette alerte intervient dans un contexte de rapports réguliers faisant état d'activités de cyberespionnage russe en Europe et en Ukraine.

Un précédent reportage de Reuters décrivait une opération plus large dans laquelle des pirates liés à Moscou avaient accédé à plus de 170 comptes de messagerie utilisés par des procureurs et enquêteurs ukrainiens. Sur la base des données examinées, au moins 284 boîtes de réception ont été compromises entre septembre 2024 et mars 2026. Les personnes concernées comprenaient des organes de lutte contre la corruption, des procureurs militaires et diverses agences gouvernementales.

Les analystes qui ont examiné les fuites affirment que la même activité semble avoir dépassé l'Ukraine. Des institutions dans plusieurs pays de l'OTAN et des Balkans ont également été touchées, notamment l'armée de l'air roumaine, le commandement militaire grec, les autorités locales bulgares et des membres de l'armée serbe.

L'attribution reste contestée. Les chercheurs associent généralement cette campagne à des opérateurs liés à la Russie, mais divergent sur son lien direct avec le groupe de piratage militaire connu sous le nom de Fancy Bear.

Parallèlement, les gouvernements européens ont signalé un schéma plus large d'opérations cybernétiques et d'influence liées à la Russie.

L'autorité roumaine de cybersécurité a confirmé des attaques contre des sites web gouvernementaux pendant la période de l'élection présidentielle du pays. Des responsables en Roumanie et en Pologne ont également mis en garde contre des activités de désinformation liées au réseau "Doppelgänger" proche du Kremlin, qui utilise de faux sites d'information, des publications coordonnées sur les réseaux sociaux et des allégations fabriquées de fraude électorale pour façonner l'opinion publique.

Dans un développement distinct, les services de renseignement néerlandais ont récemment identifié un acteur jusque-là inconnu lié à la Russie, qu'ils ont nommé "Laundry Bear". Selon des responsables néerlandais, le groupe est actif depuis au moins 2024 et a ciblé des institutions gouvernementales, des entreprises de défense, des entreprises technologiques et d'autres organisations dans les pays de l'OTAN et de l'UE.

Le SBU a souligné que la campagne ne se limite pas aux institutions étatiques. Les utilisateurs ordinaires sont également ciblés, notamment via les plateformes de messagerie.

Les autorités conseillent aux gens de vérifier régulièrement les sessions actives dans leurs applications, d'activer l'authentification à deux facteurs, d'éviter d'ouvrir des liens ou fichiers suspects, et de ne jamais partager de codes de connexion, mots de passe ou clés de récupération de compte avec quiconque.

Les utilisateurs sont également avertis de ne pas scanner les codes QR provenant de comptes ou robots inconnus, car ils peuvent être utilisés pour lier des appareils étrangers directement au compte de messagerie de la victime.