Le FBI et la CISA ont renouvelé leur alerte sur les opérations russes de phishing sur Signal. Ils y nomment publiquement pour la première fois deux groupes responsables, UNC5792 et UNC4221. L'avis signale également qu'un attaquant en possession d'une clé de récupération volée peut s'en servir même si la victime crée un nouveau compte.
En mars, le FBI et la CISA avaient publié un premier avis sur les campagnes de phishing russes qui convoitaient les clé de récupération de Signal, sans nommer les groupes en cause. Cette fois, le FBI attribue UNC5792 à des officiers du FSB intégrés à la garde-frontière russe, et UNC4221 à des agents des services militaires. Les deux groupes s'en prennent à des fonctionnaires américains et étrangers actuels ou anciens, des militaires, des journalistes, des responsables politiques et des cadres ukrainiens.
Un attaquant qui conserve la clé volée garde l'accès au-delà du changement de compte
L'avis signale aussi qu'un attaquant en possession de la clé de récupération des Signal Secure Backups garde son accès même si la victime change de téléphone ou ouvre un nouveau compte sur le même numéro. Il lui suffit d'attendre la prochaine réinstallation de l'application pour télécharger les sauvegardes du nouveau compte. Pour se protéger, l'utilisateur doit générer une nouvelle clé dans les paramètres. L'ancienne ne fonctionne plus pour les téléchargements futurs, mais l'utilisateur ne peut pas récupérer les archives que l'attaquant a déjà téléchargées.
Pour tromper leurs cibles, les opérateurs des deux groupes envoient un message qui se fait passer pour le support officiel de Signal. Le FBI a publié deux modèles de ces messagesdans l'avis. Le premier annonce un déploiement obligatoire de double authentification. Le second prétend qu'une perte de données est imminente. Dans les deux cas, les attaquants convainquent la victime d'activer les sauvegardes, d'afficher la clé et de la coller dans le chat. Les attaquants n'ont pas percé le chiffrement de Signal ni compromis l'application elle-même.
Le département d'État offre 9,3 millions d'euros pour des informations sur UNC5792
En parallèle, le département d'État américain a annoncé une prime de 10 millions de dollars, soit environ 9,3 millions d'euros, pour toute information permettant d'identifier ou de localiser les membres d'UNC5792. Le programme Rewards for Justice gère ce type de récompenses depuis plusieurs années.
La chronologie de cette campagne remonte au début 2025, quand Google Threat Intelligence Group a publié les premières analyses techniques sur l'exploitation de la fonction « appareils liés » par UNC5792 contre des responsables ukrainiens. En février 2026, les agences allemandes BfV et BSI ont alerté leurs homologues européens. En mars, les Néerlandais de l'AIVD et du MIVD ont confirmé l'ampleur de la campagne, et l'ANSSI a mis en garde ses administrations contre ces techniques à la même période.
Le FBI rappelle que tout message reçu à l'intérieur de Signal demandant une clé de récupération, un code PIN ou un code SMS provient nécessairement d'un attaquant, quelle que soit l'apparence de l'expéditeur. Signal ne contacte jamais ses utilisateurs par messagerie intégrée pour réclamer des identifiants.
Source : The Hacker News
