Le soir du 30 mai 2025, la nouvelle d'une cyberattaque massive a éclaté qui, selon le magazine New Lines, a joué un rôle clé dans l'effondrement du régime de Bachar al-Assad en Syrie. Des pirates informatiques ont utilisé le logiciel espion SpyMax déguisé en application légitime de Syrian Trust pour pirater les téléphones des officiers syriens et accéder à des données classifiées. Une attaque qui a commencé avec des liens de phishing distribués via Telegram a permis aux attaquants d'espionner l'armée, ce qui, selon les experts, a changé le cours du conflit. 

SpyMax, une version avancée du célèbre logiciel espion SpyNote, a été introduite via de faux portails de téléchargement qui ressemblaient à de vrais. Selon PCRisk.com, le logiciel ne nécessite pas un accès complet au système Android, ce qui le rend plus facile à exploiter pour les cybercriminels. La version originale de SpyMax est vendue sur le marché noir pour 500 $, mais des copies piratées sont disponibles gratuitement, ce qui en fait un outil populaire parmi les pirates. Dans ce cas, un logiciel espion a été installé sur les appareils des responsables de la sécurité syriens via une chaîne Telegram se faisant passer pour le Syrian Trust for Development. 

Une fois installé, SpyMax a donné aux attaquants un contrôle total sur les appareils. Le programme agissait comme un cheval de Troie d'accès à distance (RAT), enregistrant les frappes au clavier, interceptant les messages texte, les appels, les photos et les fichiers confidentiels. Selon le magazine New Lines, des pirates informatiques ont pu suivre la localisation des officiers en temps réel, accéder à leurs caméras et microphones et enregistrer les conversations des commandants, révélant ainsi les plans opérationnels. De plus, ils pourraient filmer à distance des vidéos montrant des quartiers généraux militaires, donnant ainsi aux opposants d’Assad un avantage stratégique. 

L'attaque a été particulièrement efficace contre les appareils exécutant d'anciennes versions d'Android, comme Lollipop, sorti en 2015. Selon PCRisk.com, les vulnérabilités du système d'exploitation ont permis aux logiciels espions d'effectuer jusqu'à 15 actions sensibles, notamment le vol de documents, de cartes et d'identifiants militaires. Les pirates ont également collecté les données personnelles des soldats, telles que leurs dates de naissance et leurs identifiants de réseaux sociaux, leur permettant de manipuler les informations et de faire chanter les officiers. 

L’infrastructure d’attaque a été soigneusement préparée. Selon le magazine New Lines, les domaines associés au site de phishing Syr1 ont été enregistrés de manière anonyme et le malware était actif depuis juin 2024, cinq mois avant la chute du régime Assad. Les attaquants ont utilisé de faux certificats de sécurité pour éviter d’être détectés, et les données ont été transférées vers des plateformes cloud inconnues, ce qui les rend difficiles à suivre.