Les utilisateurs du logiciel espion réclamaient aux FAI ou fournisseurs de téléphonie mobile de leurs cibles qu’ils bloquent la connectivité de leurs terminaux, afin de les inciter à installer le spyware. Ce dernier usurpait leur identité graphique et celles de Facebook, WhatsApp, Instagram ou Samsung.
Mi-juin, les chercheurs du Lookout Threat Lab révélaient qu’Hermit était utilisé par le gouvernement du Kazakhstan depuis au moins avril 2022, soit quatre mois après une violente répression de manifestations.
Ils estimaient qu’Hermit avait été développé par le vendeur italien de logiciels espions RCS Lab S.p.A, associé à une autre entreprise italienne, Tykelab Srl. Leurs deux noms figurent en effet dans un certificat SSL associé au logiciel espion, et des offres d’emploi du second renvoient aux capacités vantées par le premier.
Lookout précisait que les autorités italiennes s’en étaient déjà servi à l’occasion d’une opération anti-corruption en 2019, et qu’elle avait été la cible d’allégations d’abus potentiels en matière de données personnelles et privées. Hermit avait également été identifié au nord-est de la Syrie, majoritairement peuplée de Kurdes opposés au régime de Damas, et en guerre contre la Turquie.
RCS Lab, qui « opère depuis 1993 », explique qu’il « fournit aux forces de l’ordre du monde entier des solutions technologiques de pointe et un support technique dans le domaine de l’interception légale depuis plus de vingt ans » :
« Société indépendante dont le siège est en Italie et des filiales en France et en Espagne, RCS est le premier fournisseur européen de services complets d’interception légale, avec plus de 10 000 cibles interceptées traitées quotidiennement rien qu’en Europe. »