Et si les pirates de Careto travaillaient en fait pour les autorités espagnoles ? En 2014, Kaspersky avait décortiqué une campagne d’espionnage ayant visé près de 400 victimes dans 31 pays. Onze ans plus tard, le site internet TechCrunch assure dans un article que les chercheurs de l’éditeur russe avaient leur petite idée des responsables.
Ces derniers auraient en effet convaincus de l’implication du gouvernement espagnol dans cette histoire.
Une information finalement passée sous silence pour ne pas aller à l’encontre de la politique de non-attribution de l’entreprise. Dans un e-mail à TechCrunch, Kaspersky a ainsi rappelé ne procéder à aucune attribution formelle.
Prudence dans le rapport
Plusieurs indices avaient amené les experts de l’entreprise à cette conclusion. Tout d’abord, ils avaient retrouvé dans le code, comme ils l’expliquaient en 2014, de nombreux mots en espagnol, y compris de l’argot.
L’entreprise avait également identifié l’utilisation d’une faille jour-zéro vendue par la société Vupen, alors basée en France. Le dirigeant de la société avait contesté sur les réseaux sociaux toute implication.
Au final, Kaspersky s’était montré prudent dans son rapport. « L’espagnol est parlé dans 21 pays », rappelait l’entreprise. « Il ne faut pas non plus exclure la possibilité d’une opération sous fausse bannière, où les attaquants auraient intentionnellement inséré des mots en espagnol afin de brouiller les analyses », soulignait-elle.
Intérêts espagnols
Pourtant, comme le remarquait cet article d’El Diario datant de mai 2022, il y avait d’autres indices. Les cibles de la campagne d’espionnage coïncidaient avec les intérêts de Madrid. Que ce soit en visant des personnes au Maroc, ou Brésil ou à Gibraltar.
Repéré de 2007 à 2013, Careto avait ensuite disparu sous les radars. Jusqu’à une nouvelle publication d’un rapport de Kaspersky, en mai 2024.
L’éditeur russe avait identifié deux nouvelles cibles, basées en Amérique latine et en Afrique centrale. L’entreprise avait alors souligné la « complexité remarquable » des logiciels malveillants utilisés par ce groupe.