掠夺者间谍软件死灰复燃：持续威胁与新发现

2025年6月12日，Insikt Group（隶属于Recorded Future）发布了一份关于“掠夺者”（Predator）间谍软件的最新研究报告。尽管Intellexa联盟（Predator背后的组织机构）受到了广泛的国际制裁和公开曝光，但该组织依然活跃，并且在多个国家发现了新的活动迹象。研究报告显示，近几个月来，Predator的活动死灰复燃，这反映出该运营商的持续存在。虽然已识别的大部分基础设施与Insikt集团先前识别的国家/地区的已知 Predator运营商相关，但也在莫桑比克发现了一个新客户——此前该国家并未公开与该间谍软件有任何关联。这与更广泛的观察结果相符，即Predator在非洲高度活跃，其已识别客户中有超过一半位于非洲大陆。此外，Insikt Group还发现高级Predator基础设施与之前与Intellexa Consortium有关联的捷克实体之间存在联系。

背景概述

Predator是一款复杂的雇佣型间谍软件，自2019年起活跃于安卓和iPhone设备上。最初由Cytrox开发，现隶属于Intellexa联盟。Predator的设计兼具灵活性和隐蔽性，能够在受感染设备上几乎不留痕迹，使得外部调查其滥用行为变得尤为困难。一旦部署成功，Predator可完全访问设备的麦克风、摄像头及所有数据，而无需用户知情。

在过去两年中，Intellexa及其相关实体因涉嫌滥用间谍软件而受到多国政府的制裁，包括美国、英国和法国等。然而，尽管这些措施对Intellexa的运营造成了一定影响，Predator的活动并未彻底停止，反而出现了新的发展动态。

主要发现

1. 新客户和地理位置

Insikt Group发现了一个新的Predator客户——莫桑比克，这是首次公开报道该国与Predator有关联。此外，研究还确认了Predator在非洲的高度活跃状态，超过一半的已识别客户位于非洲大陆。这表明Predator不仅限于特定地区，而是全球范围内广泛使用的工具。

2. 基础设施和技术更新

为了逃避检测，Predator的基础设施进行了多次更新和改进。例如，域名结构从冒充本地新闻媒体转向使用看似随机的英文单词组合，甚至包含葡萄牙语词汇以适应目标用户的语言环境。此外，Insikt Group观察到Predator的多层基础设施网络正在不断扩展和演变，增加了更多层级以进一步掩盖运营商的身份。

3. 与捷克实体的关联

研究揭示了Predator基础设施与捷克一家名为FoxITech sro的实体之间的联系。这家公司在克尔诺夫设有总部，由Michal Ikonomidis所有。FoxITech sro被怀疑为Intellexa提供技术支持和服务。通过技术指标分析，Insikt Group发现Tier 4服务器定期与Tier 5基础设施通信，后者与FoxITech sro相连，标志着Predator基础设施与Intellexa联盟相关企业实体之间首次建立的技术连接。

4. 创新的规避策略

面对持续的公开曝光和制裁压力，Predator的运营者采取了多种策略来规避检测。其中包括使用更加多样化的服务器配置、扩展自治系统号(ASN)的多样性以及在其多层基础设施中引入更多层级。一个值得注意的策略是使用虚假网站，这些网站通常分为四类：虚假的404错误页面、伪造的登录或注册页面、显示正在建设中的网站以及声称与特定实体相关的网站。

5. 活动模式的变化

虽然Predator的整体活动有所减少，但在某些国家和地区仍保持活跃。例如，在刚果民主共和国和安哥拉，Predator的活动一度暂停后又重新启动。此外，Insikt Group还观察到一些短暂的测试和开发操作，可能与东欧运营商有关。

防御建议

鉴于Predator的高度隐蔽性和复杂性，防御者应遵循以下最佳实践：

个人设备和公司设备分开存放：确保工作和个人生活中的设备分离，避免交叉感染。

定期更新手机：及时安装官方发布的安全补丁和更新。

鼓励定期重启设备：尽管这可能无法完全消除Predator的威胁，但仍有助于清除部分恶意软件。

使用锁定模式：启用设备的安全锁定功能，限制未经授权的访问。

实施移动设备管理(MDM)系统：加强对移动设备的安全管理和监控。

加强员工安全意识培训：提高员工对钓鱼攻击和其他社会工程手段的认识，减少人为失误导致的安全漏洞。

结论与展望

尽管面临国际制裁和公众曝光的压力，Intellexa及其Predator间谍软件仍然展现出强大的适应能力和持续的生命力。随着技术的进步和市场需求的增长，未来可能会出现更多类似的高级间谍软件产品。为了有效应对这一挑战，各国政府、企业和个人需要加强合作，共同提升网络安全防护水平。

Insikt Group的研究成果提醒我们，尽管取得了阶段性胜利，但针对雇佣型间谍软件的斗争远未结束。只有通过持续的努力和创新，才能更好地保护公民隐私和社会稳定免受此类威胁的影响。

参考资料

1、SecurityLab.ru，Cyberscoop

2、https://go.recordedfuture.com/hubfs/reports/cta-2025-0612.pdf

原文始发于微信公众号（网空闲话plus）：“掠夺者”间谍软件死灰复燃：持续威胁与新发现