Comment l’ONG Reporters sans frontières a été visée par une tentative de hameçonnage liée à la Russie

Illustration


Les tentatives de hameçonnage, cela n’arrive pas qu’aux autres. L’ONG Reporters sans frontières (RSF) vient ainsi de dévoiler une tentative de piratage vraisemblablement opérée par des attaquants du groupe Callisto.

Comme l’explique l’entreprise de cybersécurité française Sekoia, sollicitée en mars 2025 par RSF, l’ONG s’était étonnée d’avoir reçu un drôle de message, en français, sur la boîte mail de l’un de ses principaux membres. Provenant d’une adresse imitant celle d’un contact de confiance, « il demandait au destinataire de consulter un document » sans qu’aucune pièce ne soit jointe.

Un mode opératoire de Callisto déjà documenté. Également connu sous le nom de Star Blizzard, ces pirates ont été rattachés en décembre 2023 par des agences américaines, australiennes, britanniques, canadiennes et néo-zélandaises à l’un des services du FSB, le service de renseignement intérieur russe.

Méfiance de l’ONG

Ici, il s’agit d’inciter le destinataire à répondre. Pour lui envoyer ensuite un document piégé, ce qui a été fait dans l'exemple rapporté par RSF. L’attaquant a ainsi partagé en anglais, un changement de langue qui a éveillé la méfiance de l’ONG, « un lien vers un site web précédemment compromis ». Ce dernier redirigeait lui-même vers une URL du drive de Proton, un fichier toutefois bloqué par l’entreprise basée en Suisse.

En investiguant autour de cette tentative de hameçonnage, les experts de Sekoia vont dénicher un deuxième attaque similaire, visant une autre organisation à l'identité non précisée. Cette fois-ci, il y avait bien un fichier joint au mail, une archive au format ZIP censée être un PDF.

A l’ouverture du contenu, un message indiquait que le PDF était chiffré et qu’il fallait cliquer sur un lien pour l’ouvrir dans le drive de Proton. Le lien renvoyait en fait vers un site web compromis et le lancement de la phase de hameçonnage. Le « kit artisanal », utilisant la technique de « l’homme du milieu », invitait alors l’utilisateur à renseigner ses identifiants Proton.

Des cibles

RSF estime avoir été ciblée pour ses prises de position en faveur de la liberté de la presse et son assistance active aux « journalistes russes fuyant leur pays ». L’ONG, « régulièrement visée par des attaques numériques initiées ou relayées activement par les services russes ou des acteurs qui nourrissent leurs narratifs », rappelle à ce sujet qu’elle a été désignée « organisation indésirable » en Russie en août 2025.

Faisant ainsi d’elle une cible pour Callisto, un groupe qui vise « un large éventail d'entités soutenant l'Ukraine », résume l’entreprise Sekoia. Et d’avertir.

Les ONG actives dans ce pays envahi depuis trois ans par l’armée russe, les particuliers ou les chercheurs travaillant sur ce conflit et collaborant avec des organismes ukrainiens sont « potentiellement » des cibles pour ces pirates.


Source : Lire l'article original

Read more