Predator kémprogram túlélte a szankciókat
A Recorded Future – Insikt Group jelentése szerint a Predator mobil kémprogram tovább működik és fejlődik, annak ellenére, hogy a mögötte álló Intellexa egységet szankciók és nyilvános leleplezések érték az elmúlt időszakban. A legújabb nyomok révén sikerült először kapcsolatot azonosítani mozambiki ügyfelekhez – ideiglenesen inaktív algériai operátor is újra tevékeny lett 2025 elején –, és egy kelet-európai, feltételezhetően fejlesztés alatt álló klasztert is azonosítottak. A Predator többfokozatú infrastruktúrát használ, amely immár négy szintű struktúrát alkot – így még jobban elkülöníti az operátorokat az áldozatoktól –, és feltűnt egy ötödik réteg is, amely összefüggésbe hozható egy csehországi FoxITech s.r.o. nevű szervezettel, ami kapcsolódik az Intellexához. A támadó infrastruktúra több országban – Angola, Kongó, Mozambik, Délkelet-Ázsia – aktív, és jellemző rá a hamisított webhelyek használata (pl. hamis 404-oldalak, álhitelesítő űrlapok), amelyek célja a rendőrségi vizsgálatok elterelése. Mindezek ellenére a Predator ügyfeleinek száma csökkent a nagy publicitás és szankciók hatására, de új infrastruktúra megjelenése egyértelműen jelzi a túlélést és alkalmazkodást .
A Predator nem vesztette el funkcionalitását vagy operációs képességét, továbbra is képes mikrofont, kamerát, üzeneteket, hívásnaplókat megszerezni, és Python-alapú moduláris felépítése révén távolról frissítve új modulokkal bővülhet. A multi-szintű kialakítás és a hamis webhelyes megtévesztés célja, hogy az infrastruktúrát nehezebben lehessen összekapcsolni az operátorokkal, megnehezítve a nyomozást és fenntartva a szolgáltatás működését.
A Predator moduláris, többhálózatos felépítése megnehezíti a kiszűrését, ezért a védelemhez szükség van kiterjedt telemetry-gyűjtésre, IoC monitorozásra és domain-összefüggések elemzésére. A hamis webhelyek felismeréséhez szükség van fejlett URL-/SSL-elemzésre és alertingre. Mozambikban például azonosított domain-hálózatok és IP-címek alapján már lehetőség van ezek proaktív tiltására vagy blokkolására. A Predator továbbra is aktív, globális, adaptív és moduláris spyware infrastruktúrát működtet, amely új helyszíneken bukkant. Bár a visszaesés mértéke nőtt a nyilvánosság óta, a fejlesztett szerkezet és a hamis webhelyes taktikák azt mutatják, hogy a program túlélte a szankciókat.
