Predator Spyware Maker Intellexa Evades Sanctions, New Victims Identified

News | 5 December 2025

间谍软件产品来自监控联盟Intellexa，尽管面临广泛的美国制裁，其活动仍在蓬勃发展。

此前，由《内幕报道》、Haaretz和WAV研究集体发布的、一项长达数月的调查公布了从该公司泄露的一系列高度敏感文件和其他材料，被称为“Intellexa泄漏事件”。

调查公布后，出现了三份独立但协调的、关于该间谍软件联盟活动的报告，详细说明了新的攻击载体和受害者名单。

这些报告包括谷歌威胁情报小组(GTIG)、Recorded Future的Insikt集团以及国际特赦组织安全实验室的文件。该实验室也为报道“Intellexa泄漏事件”的记者提供了技术团队。报告揭示，这家间谍软件制造商继续向出价最高者出售数字武器。

在主要发现中，GTIG披露，Intellexa已巩固其作为最活跃的、利用零日漏洞攻击移动浏览器的间谍软件供应商之一的地位（如果不是最活跃的那个）。

这家由分布在希腊、爱尔兰、匈牙利、北马其顿及其他地区的多个法律实体组成的间谍软件供应商，自2021年以来，在GTIG及其前身谷歌威胁分析小组(TAG)记录的70个零日漏洞利用中，至少要对其中15个负责。

尽管针对Intellexa业务及与该联盟相关的个人进行了多轮制裁，包括美国财政部外国资产控制办公室(OFAC)在2024年3月和9月实施的制裁（总共针对7名个人），情况依然如此。

此外，Intellexa在2023年因未能配合希腊数据保护局对其的调查而被罚款。

新的“零点击”攻击载体被揭露

国际特赦组织安全实验室的报告也揭示了Intellexa的旗舰产品Predator（有时也以Helios、Nova、Green Arrow或Red Arrow为名进行营销）如何感染目标设备。

传统上，Predator几乎完全依赖“单次点击”攻击来感染设备，这需要目标手机上打开一个恶意链接。这比利用竞争对手（如NSO集团的Pegasus）常用的“零点击”攻击的侵入性要低。

然而，国际特赦组织的报告揭示，Intellexa最近开发了一种新的战略性感染载体“Aladdin”，可以在全球范围内对目标设备实现静默的零点击感染。

该载体（首先由Haaretz和《内幕报道》曝光）利用了商业移动广告生态系统来实施感染。

国际特赦组织将攻击链描述为“技术实现复杂”，但“概念上简单”。

“Aladdin系统通过强制目标手机上显示攻击者创建的恶意广告来感染手机。这个恶意广告可以出现在任何显示广告的网站上，例如一个受信任的新闻网站或移动应用程序，并且看起来就像目标用户可能看到的任何其他广告。公司内部资料解释，仅仅查看广告就足以触发目标设备上的感染，无需点击广告本身。”国际特赦组织的报告写道。

（图片说明：泄露文件截图，展示了基于公共IP地址、通过恶意广告进行零点击感染的‘Aladdin’系统。来源：国际特赦组织）

Recorded Future的报告还揭示，两个新发现的、似乎活跃于广告行业的实体可能与Aladdin有关。

国际特赦组织安全实验室分享了泄露文件和录像的发现，显示Intellexa对实时监控操作有深入的可见性，表明该间谍软件制造商保留了对客户实时间谍软件系统的直接访问权限。

发现与Intellexa关联的新实体

国际特赦组织报告中的另一个关键发现证实了之前对疑似感染域名和基础设施归属于Predator的推断，这些域名模仿了合法的哈萨克斯坦新闻网站。

“虽然在哈萨克斯坦尚未发现Predator间谍软件的目标受害者，但安全实验室之前的调查记录显示，2021年至少有四名哈萨克斯坦青年活动家被非法使用Pegasus间谍软件入侵。”国际特赦组织的报告称。

基于基础设施分析，Recorded Future的Insikt集团评估认为，至少到2025年8月，哈萨克斯坦仍在继续使用Predator间谍软件。

该报告还发现了几个新识别的Intellexa关联实体，包括一些与该联盟在捷克集群相关的实体，以及一个在菲律宾的实体。

（图片说明：上图：与Intellexa关联的公司位置。下图：有证据表明存在Predator部署和运营商活动的国家。来源：Recorded Future，国际特赦组织）

调查期间检查的Intellexa数据还显示，希腊和埃及可能存在新的受害者，并有证据表明埃及和沙特阿拉伯的客户仍在活跃。

过去两年里，Recorded Future的Insikt集团已在十几个国家识别出疑似Predator运营商，包括安哥拉、亚美尼亚、博茨瓦纳、刚果民主共和国、埃及、希腊、印度尼西亚、哈萨克斯坦、蒙古、莫桑比克、阿曼、菲律宾、沙特阿拉伯、苏丹、特立尼达和多巴哥以及越南。