研究人员发现可能用于 Predator （掠夺者）间谍软件的新基础设施

网络安全研究人员已发现至少 11 个国家/地区可能被称为 Predator （掠夺者）的商业间谍软件（https://eic.network/projects/predator-files.html）运营商使用的新基础设施。

通过分析可能用于传播间谍软件的域名，Recorded Future 的 Insikt Group 分析师发现了安哥拉、亚美尼亚、博茨瓦纳、埃及、印度尼西亚、哈萨克斯坦、蒙古、阿曼、菲律宾、沙特阿拉伯和特立尼达和多巴哥的潜在 Predator 客户。

在 Recorded Future 进行分析（https://www.recordedfuture.com/predator-spyware-operators-rebuild-multi-tier-infrastructure-target-mobile-devices）之前，尚未发现博茨瓦纳和菲律宾境内的 Predator 客户。

Predator 是由以色列间谍软件联盟Intellexa开发的复杂间谍软件。它至少从 2019 年就开始部署，感染了 Android 和 iPhone 设备。一个由记者、活动家和网络专家组成的联盟此前在一个名为“掠夺者文件”的项目中检查了间谍软件。

Predator 可以访问设备的麦克风、摄像头以及所有存储或传输的数据，包括联系人、消息、照片和视频。它具有高度侵入性，并且在目标设备上留下的痕迹非常有限，这使得调查具有挑战性。

Insikt Group 尚未确定最新 Predator 活动的具体受害者或目标。

研究人员表示：“由于 Predator 间谍软件通常通过漏洞利用传递到单个受害者设备，因此在不直接访问这些设备的情况下识别目标是一项挑战。”

从欺骗开始

在最新的分析中，Insikt Group 确定了一个新的多级 Predator 交付网络，包括交付服务器、上游服务器和很可能与 Predator 客户相关的基础设施。

交付服务器可能用于设备利用和初始访问。这些服务器通常托管一个域，欺骗目标可能感兴趣的特定实体的网站。其中一些域名冒充合法的新闻媒体、天气预报网站或特定公司，例如房地产企业。

例如，域名 krisha-kz.com 和 kollesa.com 似乎是在欺骗哈萨克斯坦的一家房地产公司和一家汽车销售平台。该国利用NSO Group、FinFisher和RCS Lab等网络间谍软件供应商来针对活动人士和政客的历史进一步表明，该国很可能是 Predator 的客户。

研究人员表示，Insikt Group 发现的域名中有一半以上与哈萨克斯坦有关，这表明间谍软件活动的水平可能会有所提高。

研究人员发现的 Predator 网络的其他部分包括交付服务器上游的虚拟专用服务器。它们可能用于匿名流量并降低将交付服务器与特定 Predator 客户关联的可能性。

报告称，匿名网络掩盖了运营商的位置和身份，使得攻击的归属变得更加困难。

这些上游服务器与静态国内互联网服务提供商地址进行通信，这些地址可能与 Predator 客户相关。

研究人员表示：“根据我们的调查结果，以及历史上这些国家/地区的组织几乎全部都是 Predator 客户的事实，这些组织很可能会继续使用 Predator 间谍软件。”

不仅仅是执法

Predator 和 Pegasus 等间谍软件技术作为用于反恐和执法的工具进行销售。然而，它们不断被滥用来针对公民社会，包括记者、政治家和活动家。

例如，去年 9 月，一名埃及反对派政客的手机成为了“Predator”攻击的目标，数字取证组织“公民实验室”的研究人员认为，该活动是在埃及政府知情的情况下进行的。

其他 Predator 受害者包括希腊记者Thanasis Koukasis、前 Meta 员工Artemis Seaford和欧洲议会议员Nikos Androulakis。

Predator 的客户通常针对那些被认为具有重要情报价值的知名人士。据 Insikt Group 称，这是因为部署成本很高，每次感染都要付费。

研究人员表示：“在严重犯罪和反恐之外，国内使用 Predator 等雇佣兵间谍软件会给最终目标、其雇主以及开展此类活动的实体带来隐私、法律或人身安全风险。”

参考链接：https://therecord.media/new-predator-spyware-infrastructure-identified