Группа Insikt Group, исследовательское подразделение компании Recorded Future, выявила новые связи в корпоративной сети компании Intellexa, известной своим причастностью к распространению шпионского ПО Predator. Расследование обнаружило дополнительные компании и частных лиц, предположительно связанных с технической поддержкой, логистикой и рекламными кампаниями, которые могут использоваться для заражения устройств. Кроме того, анализ данных об экспорте и импорте указывает на прямые поставки продуктов Intellexa заказчикам в Ботсвану, Казахстан и на Филиппины через компанию-посредника. Отдельно исследователи зафиксировали новые признаки оперативной активности Predator в Ираке.
Описание
Корпоративная структура Intellexa, как и других продавцов так называемого наёмного шпионского ПО (mercenary spyware), намеренно сложна и непрозрачна. Она состоит из множества компаний-однодневок и подставных фирм, зарегистрированных в разных юрисдикциях, что затрудняет отслеживание и санкции. В рамках нового отчёта эксперты углубили анализ ранее известного «чешского кластера» компаний, связанных с израильским бизнесменом Двиром Хорефом Хазаном. Были выявлены четыре новые организации: PULSE FZCO, Zelus Analytics, Pulse Advertise и MorningStar TEC. Все их домены были активированы в марте 2024 года и размещались на одном IP-адресе, который также использовался другими ресурсами, ассоциированными с Intellexa.
PULSE FZCO, зарегистрированная в дубайской свободной экономической зоне (DIFZA), позиционирует себя как кибербезопасная компания. Однако данные об экспорте показывают, что она, вероятно, использовалась для отгрузки продуктов Intellexa конечным клиентам. В октябре 2023 года компания осуществила поставку Управлению разведки и безопасности Ботсваны. Примерно через месяц исследователи зафиксировали начало активности инфраструктуры Predator в этой стране. Аналогичные поставки были сделаны казахстанской компании OOO Seven Hills и филиппинской ComWorks. Обе эти организации ранее были замечены в импорте технологий слежения.
Отдельный интерес представляют компании Pulse Advertise и MorningStar TEC, работающие в рекламной сфере. Исследователи полагают, что они могут быть причастны к вектору заражения под названием «Aladdin». Согласно утечкам внутренних документов Intellexa за 2022 год, «Aladdin» - это концепция системы, использующей вредоносную рекламу в интернете для компрометации устройств iOS и Android. В рассмотренной в отчёте накладной от июля 2022 года, выписанной на одну из компаний Хазана, фигурирует оплата за «проект POC, «Aladin»», что указывает на возможную причастность чешского кластера к этой разработке.
Параллельно с анализом корпоративных связей эксперты отслеживают текущую оперативную активность Predator. После многочисленных публикаций о его инфраструктуре в 2023-2024 годах, Intellexa начала вносить изменения, затрудняющие обнаружение. В частности, наблюдается переход на использование сервисов вроде Cloudflare для сокрытия серверов. Несмотря на это, кластеры, связанные с заказчиками в Саудовской Аравии, Казахстане, Анголе и Монголии, по-прежнему проявляли активность, поддерживая связь с ключевой инфраструктурой пятого уровня (Tier 5) вплоть до конца 2025 года.
Новые данные также подтверждают наличие оператора Predator в Ираке. Исследователи выявили сетевую коммуникацию между инфраструктурой пятого уровня и статическим IP-адресом, географически расположенным в Ираке. Кроме того, был зафиксирован трафик с подозрением на жертву с иракских IP-адресов на один из серверов первого уровня Predator. Ранее о возможной активности свидетельствовали домены, содержащие отсылки к курдскому региону Бадинан в Иракском Курдистане.
Продолжающееся использование шпионского ПО, такого как Predator, представляет серьёзные риски для прав человека, демократических процессов и безопасности. Хотя основными публично задокументированными жертвами остаются журналисты и правозащитники, появляются свидетельства таргетирования руководителей крупного бизнеса и других лиц, представляющих высокую разведывательную ценность. Дорогостоящая модель лицензирования Predator предполагает, что операторы применяют его против стратегически важных целей. В то же время незаконное использование подобных средств против политической оппозиции остаётся острой проблемой, расследуемой в ряде стран ЕС, включая Польшу и Грецию.
Индустрия наёмного шпионского ПО демонстрирует устойчивость, адаптируясь к санкциям и публичному вниманию. Ключевыми трендами становятся фрагментация рынка по геополитическому признаку, постоянная ротация компаний и сохранение ядра из одних и тех же технических специалистов и посредников. Растущая конкуренция и секретность вокруг дорогостоящих эксплойтов увеличивают риски коррупции и утечек внутри самих вендоров. Эксперты подчёркивают, что публично известные случаи злоупотреблений, вероятно, являются лишь верхушкой айсберга в значительно более крупной и скрытой глобальной экосистеме слежения.
Индикаторы компрометации
IPv4
- 38.180.54.77
- 45.86.231.8
- 5.253.43.92
- 89.150.57.85
Domains
- badinigroup.com
- birura.com
- gardalul.com
- keep-badinigroups.com
