El grup de recerca en ciberseguretat Citizen Lab i el Centre d’Intel·ligència Cibernètica de Microsoft (MSTIC) han identificat la utilització il·lícita d’un programari d’espionatge cibernètic desenvolupat per l’empresa clandestina israeliana Candiru a una desena de països, entre els quals es troba l’Estat espanyol. D’acord amb el gegant tecnològic, l’arma informàtica en qüestió ha permès accedir a ordinadors i telèfons de més d’un centenar de persones d’arreu del món, entre les quals es troben ciutadans catalans.

En el comunicat que ha publicat Microsoft s’especifica que la companyia israeliana era l’encarregada de desenvolupar i comercialitzar el software, que ha estat utilitzat per “agents governamentals” per espiar persones d’Israel, el Líban, el Iemen, l’Iran, el Regne Unit, Turquia, Espanya (concretament, a Catalunya), Armènia i Singapur. Segons l’empresa nord-americana, els atacs cibernètics han anat dirigits a polítics, activistes, periodistes, acadèmics, ambaixadors i dissidents polítics i, del total de persones afectades, més de la meitat s’ubiquen a Palestina. Microsoft matisa que la ubicació geogràfica de les víctimes no implica necessàriament que el programari s’hagi distribuït a administracions de l’Estat en qüestió, atès que “els objectius internacionals són comuns”.

Using Internet scanning, we identified more than 750 websites linked to Candiru’s infrastructure. We found domains masquerading as advocacy organizations such as Amnesty International & the Black Lives Matter movement, as well as media companies & other civil-society entities.

— Citizen Lab (@citizenlab) July 15, 2021

El programari maliciós desenvolupat per Candiru ha estat batejat per Microsoft amb el nom de Devils Tongue (llengües del diable). Segons Citizen Lab, l’entitat que va localitzar inicialment l’amenaça, la infraestructura d’espionatge estava enllaçada a més de 750 pàgines web emmascarades sota l’aparença d’organitzacions com Amnistia Internacional o el moviment Black Lives Matter. El software s’introduïa als sistemes a través de dues vulnerabilitats de Windows ja protegides per Microsoft. Un cop dins del dispositiu, l’eina era capaç d’extreure fitxers de l’ordinador, exportar els missatges desats d’aplicacions d’encriptació com Signal i robar les cookies i les contrasenyes dels principals navegadors web.

D’acord amb la recerca efectuada per Citizen Lab, Candiru és una empresa amb seu a Tel Aviv (Israel) fundada el 2014 que ha anat canviant de nom de manera recurrent, i actualment opera com a Saito Tech Ltd. La informació filtrada per un exempleat desvela que la companyia havia efectuat vendes properes als 30 milions de dòlars durant els seus dos primers anys de vida, i que els seus clients s’ubicaven a “Europa, l’antiga Unió Soviètica, el Golf Pèrsic, Àsia i l’Amèrica Llatina”. Citizen Lab també recull evidències que la companyia ha operat amb estats com Uzbekistan i l’Aràbia Saudita, Singapur o Qatar.