掠夺者间谍软件死灰复燃:持续威胁与新发现

admin 2025年6月13日09:59:51评论18 views字数 2149阅读7分9秒阅读模式

2025年6月12日,Insikt Group(隶属于Recorded Future)发布了一份关于“掠夺者”(Predator)间谍软件的最新研究报告。尽管Intellexa联盟(Predator背后的组织机构)受到了广泛的国际制裁和公开曝光,但该组织依然活跃,并且在多个国家发现了新的活动迹象。研究报告显示,近几个月来,Predator的活动死灰复燃,这反映出该运营商的持续存在。虽然已识别的大部分基础设施与Insikt集团先前识别的国家/地区的已知 Predator运营商相关,但也在莫桑比克发现了一个新客户——此前该国家并未公开与该间谍软件有任何关联。这与更广泛的观察结果相符,即Predator在非洲高度活跃,其已识别客户中有超过一半位于非洲大陆。此外,Insikt Group还发现高级Predator基础设施与之前与Intellexa Consortium有关联的捷克实体之间存在联系。

掠夺者间谍软件死灰复燃:持续威胁与新发现

背景概述

Predator是一款复杂的雇佣型间谍软件,自2019年起活跃于安卓和iPhone设备上。最初由Cytrox开发,现隶属于Intellexa联盟。Predator的设计兼具灵活性和隐蔽性,能够在受感染设备上几乎不留痕迹,使得外部调查其滥用行为变得尤为困难。一旦部署成功,Predator可完全访问设备的麦克风、摄像头及所有数据,而无需用户知情。

在过去两年中,Intellexa及其相关实体因涉嫌滥用间谍软件而受到多国政府的制裁,包括美国、英国和法国等。然而,尽管这些措施对Intellexa的运营造成了一定影响,Predator的活动并未彻底停止,反而出现了新的发展动态。

主要发现

1. 新客户和地理位置

Insikt Group发现了一个新的Predator客户——莫桑比克,这是首次公开报道该国与Predator有关联。此外,研究还确认了Predator在非洲的高度活跃状态,超过一半的已识别客户位于非洲大陆。这表明Predator不仅限于特定地区,而是全球范围内广泛使用的工具。

2. 基础设施和技术更新

为了逃避检测,Predator的基础设施进行了多次更新和改进。例如,域名结构从冒充本地新闻媒体转向使用看似随机的英文单词组合,甚至包含葡萄牙语词汇以适应目标用户的语言环境。此外,Insikt Group观察到Predator的多层基础设施网络正在不断扩展和演变,增加了更多层级以进一步掩盖运营商的身份。

3. 与捷克实体的关联

研究揭示了Predator基础设施与捷克一家名为FoxITech sro的实体之间的联系。这家公司在克尔诺夫设有总部,由Michal Ikonomidis所有。FoxITech sro被怀疑为Intellexa提供技术支持和服务。通过技术指标分析,Insikt Group发现Tier 4服务器定期与Tier 5基础设施通信,后者与FoxITech sro相连,标志着Predator基础设施与Intellexa联盟相关企业实体之间首次建立的技术连接。

4. 创新的规避策略

面对持续的公开曝光和制裁压力,Predator的运营者采取了多种策略来规避检测。其中包括使用更加多样化的服务器配置、扩展自治系统号(ASN)的多样性以及在其多层基础设施中引入更多层级。一个值得注意的策略是使用虚假网站,这些网站通常分为四类:虚假的404错误页面、伪造的登录或注册页面、显示正在建设中的网站以及声称与特定实体相关的网站。

5. 活动模式的变化

虽然Predator的整体活动有所减少,但在某些国家和地区仍保持活跃。例如,在刚果民主共和国和安哥拉,Predator的活动一度暂停后又重新启动。此外,Insikt Group还观察到一些短暂的测试和开发操作,可能与东欧运营商有关。

防御建议

鉴于Predator的高度隐蔽性和复杂性,防御者应遵循以下最佳实践:

个人设备和公司设备分开存放:确保工作和个人生活中的设备分离,避免交叉感染。

定期更新手机:及时安装官方发布的安全补丁和更新。

鼓励定期重启设备:尽管这可能无法完全消除Predator的威胁,但仍有助于清除部分恶意软件。

使用锁定模式:启用设备的安全锁定功能,限制未经授权的访问。

实施移动设备管理(MDM)系统:加强对移动设备的安全管理和监控。

加强员工安全意识培训:提高员工对钓鱼攻击和其他社会工程手段的认识,减少人为失误导致的安全漏洞。

结论与展望

尽管面临国际制裁和公众曝光的压力,Intellexa及其Predator间谍软件仍然展现出强大的适应能力和持续的生命力。随着技术的进步和市场需求的增长,未来可能会出现更多类似的高级间谍软件产品。为了有效应对这一挑战,各国政府、企业和个人需要加强合作,共同提升网络安全防护水平。

Insikt Group的研究成果提醒我们,尽管取得了阶段性胜利,但针对雇佣型间谍软件的斗争远未结束。只有通过持续的努力和创新,才能更好地保护公民隐私和社会稳定免受此类威胁的影响。

参考资料

1、SecurityLab.ru,Cyberscoop

2、https://go.recordedfuture.com/hubfs/reports/cta-2025-0612.pdf

原文始发于微信公众号(网空闲话plus):“掠夺者”间谍软件死灰复燃:持续威胁与新发现

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月13日09:59:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   掠夺者间谍软件死灰复燃:持续威胁与新发现https://cn-sec.com/archives/4160186.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息