Pendant plus de dix ans, personne n’a su qui se cachait derrière Careto, un groupe de cyberespionnage d’élite, capable de voler des documents diplomatiques, de capter des conversations, de contourner les antivirus. Personne, sauf Kaspersky.
Kaspersky savait que ces hackers travaillaient pour le gouvernement espagnol, mais n’a jamais rien révélé. © Aleksandar Malivuk / Shutterstock L’affaire commence au début des années 2010, lorsqu’un agent gouvernemental cubain voit sa machine infectée par un malware inconnu. Pour les chercheurs de Kaspersky, l’attaque ressemble d’abord à un piratage comme une autre. Mais très vite, quelque chose cloche. Les techniques sont trop propres, le code trop structuré, la compromission trop silencieuse. Ce qu’ils ont sous les yeux n’est pas l’œuvre d’un groupe criminel opportuniste, c’est une opération d’espionnage montée avec méthode, qu’ils baptiseront The Mask, ou Careto – littéralement « sale gueule », en référence à un mot castillan trouvé dans le code de la charge utile.
En creusant, ils découvrent une campagne d’une ampleur plus impressionnante que prévu. Mais à l’époque, personne n’ose dire publiquement qui en est responsable. Et pour cause, en interne, les chercheurs soupçonnent très sérieusement un État membre de l’Union européenne, l’Espagne. Un soupçon que plusieurs anciens employés de l’entreprise russe viennent tout juste de confirmer auprès de TechCrunch.
Careto, l’espion qui venait de l’intérieur
En 2014, lorsqu’elle dévoile publiquement l’existence de Careto, l’équipe de Kaspersky le décrit comme « la menace la plus avancée du moment ». Le malware est capable de tout : intercepter des conversations privées, enregistrer les frappes clavier, voler des documents sensibles, activer les micros sans témoin visuel, extraire les clés PGP, les configurations VPN ou l’ensemble du trafic réseau. Il fonctionne sur Windows, macOS, Linux, et certaines variantes semblent même viser Android et iOS. Les traces les plus anciennes remontent à 2007, preuve que la campagne était active depuis plusieurs années avant d’être détectée.
À ce niveau de sophistication, les chercheurs n’ont aucun doute. Seul un acteur étatique disposant de ressources importantes pouvait concevoir et maintenir un outil aussi complet, aussi discret et aussi bien adapté à des cibles de haut niveau. Mais Kaspersky applique une politique stricte de non-attribution, et à l’époque, aucune piste n’est évoquée publiquement.
Pourtant, les signes ne manquent pas. Les campagnes de phishing utilisent des leurres en espagnol, calqués sur des articles d’El País, El Mundo, Público. Dans le code du malware, les analystes tombent sur une chaîne de caractères étonnante, « Caguen1aMar », contraction d’un juron typiquement castillan qui équivaut à un « fichtre » beaucoup moins poli, et qu’on n’entend quasiment jamais ailleurs qu’en Espagne.
C’est finalement la géographie des attaques qui finit d’orienter les soupçons. Les infections se concentrent dans une trentaine de pays avec lesquels l’Espagne entretient des liens politiques ou stratégiques, parmi lesquels le Maroc, le Brésil, la Colombie, le Venezuela, la Libye, l’Algérie, la France, le Royaume-Uni, et même Gibraltar – territoire britannique disputé par Madrid. Partout, les cibles sont les mêmes : des institutions étatiques, des ambassades, des entreprises énergétiques, parfois même des centres de recherche ou des militants.
Mais c’est à Cuba que la campagne prend une tout autre dimension. Tous les appareils infectés sur l’île appartiennent à une seule entité gouvernementale, dans un contexte géopolitique déjà sensible. À cette période, une quinzaine de membres de l’organisation indépendantiste basque ETA vivent en exil à La Havane, avec l’accord du régime. Une présence suivie de près par Madrid – et, semble-t-il, par Careto.
L’ampleur de l’infection s’explique aussi par un facteur plus technique. En 2018, l’antivirus Kaspersky équipe près de 90 % des ordinateurs connectés à Cuba. Et c’est précisément une faille dans une ancienne version du logiciel qui a permis à Careto d’infiltrer les systèmes… et à Kaspersky de découvrir le malware.
Très vite, une hypothèse s’impose en interne : le groupe agit pour le compte de l’Espagne. « Il n'y avait aucun doute là-dessus, du moins aucun doute raisonnable », a ainsi affirmé l’un des anciens employés de Kaspersky, interrogé par TechCrunch sous couvert d’anonymat.
Au total, Careto a sévi dans 31 pays avec lesquels l'Espagne entretenait (et entretient toujours) des relations politiques et stratégiques. © kentoh / Shutterstock Une menace toujours active malgré dix ans de silence
Quelques jours à peine après la publication du rapport, l’opération s’interrompt brutalement. Les serveurs de commande sont mis hors ligne, les journaux d’activité effacés, toute l’infrastructure méthodiquement démontée. En interne, les analystes de Kaspersky comprennent vite qu’ils ne sont pas face à des amateurs. « Boom ! Tout disparu », résume l’un des anciens chercheurs interrogés par TechCrunch. Une disparition rapide, propre, menée sans laisser de traces visibles, d'autant plus surprenante que peu de groupes sont capables de clore une campagne de cette ampleur avec une telle maîtrise et un tel sang-froid. Puis, pendant près de dix ans, plus rien.
Il aura fallu attendre 2024 pour que le nom de Careto réapparaisse. Au mois de mai, Kaspersky annonce avoir identifié une nouvelle attaque, attribuée à ce même groupe, ciblant un serveur de messagerie utilisé par une organisation latino-américaine qui, selon les chercheurs, avait déjà été touchée à plusieurs reprises au cours des années précédentes. Une seconde victime, située en Afrique centrale, est identifiée peu de temps après.
Dans une note publiée en fin d’année, les analystes parlent d’une attribution « de confiance moyenne à élevée », étayée par des noms de fichiers « alarmants de similarité » avec ceux repérés en 2014, ainsi que par un ensemble de techniques, tactiques et procédures quasi identiques. Le code est plus discret, les attaques plus ciblées, mais les objectifs n’ont pas changé. Interception de trafic, enregistrement des frappes clavier, capture d’écran, vol de documents, activation furtive du micro, les capacités restent comparables.
Même après une décennie de silence, le groupe semble avoir conservé l’essentiel de son savoir-faire. « Une très petite APT, mais qui surpasse les plus grosses en complexité », estime l’un des chercheurs interrogés par TechCrunch. La précision des attaques, la capacité à rester invisible, les outils sur mesure… Rien ne laisse penser qu’il s’agirait d’un simple héritier. Careto n’a jamais vraiment disparu. Il s’est juste fait oublier.
Depuis, ni Kaspersky, ni le ministère espagnol de la Défense, ni le gouvernement cubain n’ont souhaité commenter. Careto rejoint ainsi un cercle très restreint : Equation Group, généralement associé à la NSA ; Purple Lambert, attribué à la CIA ; ou encore La Ferme des animaux, le groupe français à l’origine des malwares Babar et Dino pour le compte de la DGSE.
merci à CLUBIC
