Un abogado de derechos humanos en la provincia de Baluchistán en Pakistán recibió un enlace sospechoso en WhatsApp de un número desconocido, lo que marca la primera vez que un miembro de la sociedad civil del país ha sido atacado por el software espía Predator de Intellexa, dijo Amnistía Internacional en un informe.
La organización sin fines de lucro dijo que el enlace era un «intento de ataque de depredador basado en el comportamiento técnico del servidor infectado y ciertas características del enlace infectado una sola vez que son consistentes con enlaces de un solo clic de depredador observados previamente». Pakistán rechazó la afirmación, diciendo que «no había ni una pizca de verdad en ella».
Los hallazgos provienen de un nuevo estudio conjunto publicado en colaboración con el periódico israelí Haaretz, el sitio de noticias griego Inside Story y el sitio de tecnología suizo Inside IT. Se basa en documentos filtrados y otros materiales de la empresa, incluidos documentos internos, materiales de ventas y marketing y vídeos de formación.
Intellexa es el fabricante de una herramienta de software espía mercenario llamada Predator. Esta herramienta, similar a Pegasus de NSO Group, puede recopilar de forma encubierta datos confidenciales de dispositivos Android e iOS específicos sin su conocimiento. La filtración revela que el Predator también se venderá como Helios, Nova, Green Arrow y Red Arrow.
Esto a menudo implica el uso de varios vectores de acceso inicial, como plataformas de mensajería que utilizan como arma fallas no reveladas previamente e instalan software espía de manera encubierta con un enfoque de un solo clic o cero clic. Por lo tanto, este ataque requiere abrir un enlace malicioso en el teléfono objetivo para provocar la infección.
Una vez que la víctima hace clic en el enlace de la trampa explosiva, se carga un exploit del navegador Google Chrome (en Android) o Apple Safari (en iOS), obteniendo acceso inicial al dispositivo y descargando la carga útil principal del software espía. Según los datos de Google Threat Intelligence Group (GTIG), se cree que Intellexa se desarrolla internamente o se obtiene de forma externa y está asociado con los siguientes exploits de día cero:
Una cadena de exploits de día cero de iOS utilizada contra objetivos egipcios en 2023 aprovechó CVE-2023-41993 y un marco llamado JSKit para ejecutar código nativo. GTIG dijo que observó el mismo exploit y marco utilizado en el ataque al abrevadero organizado por piratas informáticos respaldados por el gobierno ruso contra sitios web del gobierno de Mongolia, lo que plantea la posibilidad de que el exploit haya sido proporcionado por un tercero.
Folleto de marketing que destaca las características de los productos de software espía de Intellexa.
«El marco JSKit está bien mantenido, admite una amplia gama de versiones de iOS y es lo suficientemente modular como para admitir una variedad de técnicas de ejecución de código y omisión del Código de autenticación de puntero (PAC),» explicó Google. «Este marco puede analizar binarios Mach-O en la memoria para resolver símbolos personalizados y, en última instancia, mapear y ejecutar manualmente binarios Mach-O directamente desde la memoria».
Captura de pantalla de una interfaz de panel de ejemplo de PDS (Predator Delivery Studio) utilizada para administrar objetivos y ver los datos de monitoreo recopilados
Tras la explotación de CVE-2023-41993, el ataque pasó a una segunda etapa, aprovechando CVE-2023-41991 y CVE-2023-41992 para violar la zona de pruebas de Safari y ejecutar una carga útil de tercera etapa que no es de confianza conocida como PREYHUNTER. PREYHUNTER consta de dos módulos:
Los observadores de fallos se aseguran de que los dispositivos infectados no muestren comportamientos sospechosos y proceden a finalizar el proceso de explotación si se detectan dichos patrones. El asistente se comunica con el resto del exploit a través de sockets Unix e implementa ganchos para grabar conversaciones VoIP, ejecutar un registrador de teclas y capturar fotografías desde la cámara.
Se dice que Intellexa está utilizando un marco personalizado que facilita la explotación de varias fallas de V8 en Chrome (CVE-2021-38003, CVE-2023-2033, CVE-2023-3079, CVE-2023-4762, CVE-2025-6554), y en junio se confirmó la explotación. Arabia Saudita en 2025.
Una vez instalada, esta herramienta recopila datos de aplicaciones de mensajería, llamadas, correos electrónicos, ubicación del dispositivo, capturas de pantalla, contraseñas y otra información en el dispositivo y extrae los datos a un servidor externo ubicado físicamente en el país del cliente. Predator también tiene la capacidad de activar el micrófono del dispositivo para capturar silenciosamente el audio circundante y utilizar la cámara para tomar fotografías.
La empresa, junto con algunos ejecutivos clave, fue objeto de sanciones estadounidenses el año pasado por desarrollar y distribuir herramientas de vigilancia y violar las libertades civiles. A pesar de los continuos informes públicos, Insikt Group de Recorded Future reveló en junio de 2025 que había detectado actividad relacionada con Predator en más de una docena de países, principalmente en África, lo que sugiere una «demanda creciente de herramientas de software espía».
Quizás el hecho más importante es que las personas que trabajaban para Intellexa supuestamente tenían la capacidad de utilizar TeamViewer para acceder de forma remota al menos a algunos de los sistemas de vigilancia de sus clientes, incluidos aquellos ubicados en las instalaciones de clientes gubernamentales.
«El hecho de que Intelexa parezca haber tenido la capacidad, al menos en algunos casos, de acceder de forma remota a los registros de los clientes de Predator, permitiendo a su personal ver detalles de sus actividades de vigilancia y de los individuos objetivo, pone en duda sus propios procesos de debida diligencia en materia de derechos humanos», dijo Jure van Bergen, técnico del Laboratorio de Seguridad de Amnistía Internacional, en un comunicado de prensa.
«Si se descubre que empresas mercenarias de software espía están directamente involucradas en el funcionamiento de sus productos, podrían ser consideradas responsables según las normas de derechos humanos si se utilizan indebidamente o si el uso de su software espía causa violaciones de derechos humanos».
El informe también destaca los diversos vectores de entrega que Intellexa emplea para activar la apertura de enlaces maliciosos sin que el objetivo haga clic manualmente en el enlace. Esto incluye vectores tácticos como Triton (lanzado en octubre de 2023), Thor y Oberon (ambos desconocidos en este momento), así como vectores estratégicos entregados de forma remota a través de Internet o redes móviles.
Los tres vectores de estrategia se muestran a continuación.
Mars y Jupiter son sistemas de inyección de red que requieren la cooperación de los clientes de Predator y el operador de telefonía móvil o proveedor de servicios de Internet (ISP) de la víctima para esperar a que el objetivo abra un sitio web HTTP no cifrado y active la infección, o lanzar un ataque de intermediario (AitM) cuando el objetivo visita un sitio web HTTPS nacional que ya ha sido interceptado con un certificado TLS válido. Aladdin explota el ecosistema de publicidad móvil para realizar ataques sin clic que se activan simplemente al ver un anuncio especialmente diseñado. El sistema parece haber estado en desarrollo desde al menos 2022.
«El sistema Aladdin infecta el teléfono móvil del objetivo obligándolo a mostrar anuncios maliciosos creados por el atacante», afirmó Amnistía. «Este anuncio malicioso podría publicarse en cualquier sitio web que muestre anuncios».
Mapeo de la web corporativa de Intellexa vinculada al cluster checo
Google dijo que el uso de anuncios maliciosos en plataformas de terceros es un intento de explotar el ecosistema publicitario para tomar huellas dactilares de los usuarios y redirigir a los usuarios específicos a los servidores de distribución de exploits de Intellexa. También dijo que trabajó con otros socios para identificar empresas creadas por Intellexa para crear anuncios y cerrar sus cuentas.
En un informe separado, Recorded Future dijo que encontró que dos compañías, Pulse Advertise y MorningStar TEC, parecen estar activas en el campo de la publicidad y probablemente estén conectadas con el vector de infección de Aladdin. Además, hay evidencia de que los clientes de Intellexa con sede en Arabia Saudita, Kazajstán, Angola y Mongolia todavía se comunican con la infraestructura multinivel de Predator.
«Por el contrario, los clientes de Botswana, Trinidad y Tobago y Egipto perdieron las comunicaciones en junio, mayo y marzo de 2025, respectivamente», añadió. «Esto podría indicar que estas organizaciones dejaron de usar el software espía Predator en ese momento, pero también podría ser que simplemente cambiaron o migraron la configuración de su infraestructura».
Source link
