Le groupe d'analyse des menaces (TAG) de Google a récemment découvert plusieurs campagnes de surveillance menées par des groupes de menace soutenus par des gouvernements et des États-nations. Ces groupes ont utilisé des exploits ou des programmes d'espionnage vendus par plus de 30 fournisseurs commerciaux de surveillance. La plupart des exploits appartiennent à des vulnérabilités de type "zero-day" et "n-day" exposées publiquement contre Android, iOS et Chrome.

La première campagne, découverte en novembre 2022 était très ciblée. Les acteurs de la menace envoyaient des liens raccourcis par SMS aux utilisateurs, ces liens redirigeaient les destinataires vers des pages web hébergeant des exploits pour Android ou iOS, avant de les rediriger vers des sites web légitimes d'actualités ou de suivi des expéditions.

En décembre 2022, Google a découvert qu'une autre campagne visait la dernière version du navigateur Internet Samsung, qui fonctionne sous Chromium 102 et n'inclut pas les récentes mesures d'atténuation de plusieurs vulnérabilités de type "zero-day" et "n-day".

Les auteurs de la menace envoyaient des liens uniques par SMS à des appareils situés dans les Émirats arabes unis pour exploiter les vulnérabilités CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266, CVE-2023-26083 et de nombreuses failles zero-day de fuite d'informations du noyau.

Ces liens redirigeaient les destinataires vers une page de renvoi identique à celles créées par l'éditeur de logiciels espions Variston pour son cadre d'exploitation Heliconia.

Enfin, une suite de logiciels espions pour Android basée sur le langage C++ a été livrée. Elle contenait des bibliothèques permettant de décrypter et de capturer des données à partir de diverses applications de chat et de navigation.

La chaîne d'exploitation Android concernait les appareils dotés d'un GPU ARM et fonctionnant avec des versions de Chrome antérieures à 106, et contenait des exploits pour CVE-2022-3723, CVE-2022-4135 et CVE-2022-38181.

La chaîne d'exploitation iOS ciblait les versions antérieures à 15.1 et contenait des exploits pour CVE-2022-42856, CVE-2021-30900 et CVE-2020-3837.

Un simple Stager a été livré comme charge utile finale qui donne aux acteurs de la menace la possibilité de voler la position GPS de l'appareil et d'installer un fichier IPA sur l'appareil affecté.

Le navigateur Internet de Samsung a été détourné pour rediriger les utilisateurs vers Chrome à l'aide de la redirection d'intention. La charge utile finale de cette chaîne d'exploitation est inconnue.

Pour rester protégées, les organisations sont invitées à exploiter les CIO partagés par Google et d'autres agences de sécurité afin de renforcer leur dispositif de sécurité.