Fabricante de Spyware Predador, Intellexa, Evita Sanções

Fabricante de Spyware Predador, Intellexa, Evita Sanções

Produtos de spyware do consórcio de vigilância Intellexa continuam prosperando apesar das extensas sanções dos EUA.

Isso ocorre após uma investigação de meses sobre um conjunto de documentos altamente sensíveis e outros materiais vazados pela empresa foi publicada pela Inside Story, Haaretz e pelo WAV Research Collective, apelidada de “IntellexaLeaks”.

Após a publicação da investigação, surgiram três relatórios distintos, porém coordenados, sobre a atividade do consórcio de spyware, detalhando novos vetores de ataque e listas de vítimas.

Incluem documentos do Google Threat Intelligence Group (GTIG), do Insikt Group da Recorded Future e do Security Lab da Anistia Internacional, que também forneceu a equipe técnica aos jornalistas que trabalham no IntellexaLeaks, revelando que o fabricante do spyware continua vendendo armas digitais para os maiores lances.

Entre as principais descobertas, GTIG revelado que a Intellexa consolidou sua posição como um dos, senão o mais, fornecedor de spyware prolífico explorando vulnerabilidades zero-day contra navegadores móveis.

O fornecedor de spyware, composto por várias entidades legais que abrangem Grécia, Irlanda, Hungria, Macedônia do Norte e além, está por trás de pelo menos 15 dos 70 exploits zero-day documentados pela GTIG e seu antecessor, o Grupo de Análise de Ameaças (TAG) do Google, desde 2021.

Isso apesar de várias ondas de sanções que visam empresas e indivíduos da Intellexa ligados ao consórcio, incluindo sanções do Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro dos EUA em Março e Setembro de 2024, tendo como alvo sete indivíduos no total.

Além disso, a Intellexa foi multada pela Autoridade Grega de Proteção de Dados em 2023 por não cumprir suas investigações sobre a empresa.

Novos vetores de ataque ‘zero-click’ revelados

O relatório do Laboratório de Segurança da Anistia também esclareceu como o Predator, produto principal da Intellexa, agora às vezes comercializado como Helios, Nova, Green Arrow ou Red Arrow, infecta dispositivos alvo.

Tradicionalmente, o Predator dependia quase exclusivamente de ataques de ‘um clique’ para infectar um dispositivo, o que exigia que um link malicioso fosse aberto no celular do alvo. Isso é menos intrusivo do que aproveitar ataques ‘zero-click’ típicos de outros spyware feitos por concorrentes como o Pegasus do NSO Group.

No entanto, o relatório da Anistia revelou que a Intellexa desenvolveu recentemente um novo vetor estratégico de infecção, o ‘Aladdin’, que pode permitir a infecção silenciosa sem clique de dispositivos-alvo em qualquer lugar do mundo.

O vetor, que foi exposto pela primeira vez por Haaretz e História Interna, explora o ecossistema comercial de publicidade móvel para realizar infecções.

A Anistia descreve a cadeia de ataques como “tecnicamente complexa de implementar”, mas “conceitualmente simples.”

“O sistema Aladdin infecta o telefone do alvo forçando um anúncio malicioso criado pelo atacante a ser exibido no celular do alvo. Esse anúncio malicioso pode ser exibido em qualquer site que exiba anúncios, como um site de notícias confiável ou aplicativo móvel, e apareceria como qualquer outro anúncio que o alvo provavelmente verá a imagem. Materiais internos da empresa explicam que simplesmente visualizar o anúncio já é suficiente para acionar a infecção no dispositivo do alvo, sem necessidade de clicar no próprio anúncio”, diz o relatório da Anistia.

O Relatório Futuro Gravado também revelou que duas entidades recém-identificadas aparentemente atuando no setor de publicidade podem estar ligadas a Aladdin.

O Laboratório de Segurança da Anistia compartilhou as descobertas de documentos vazados e imagens que mostram a profunda visibilidade da Intellexa sobre operações de vigilância ao vivo, indicando que o fabricante do spyware mantém acesso direto aos sistemas de spyware dos clientes ao vivo.

Novas entidades ligadas ao Intellexa descobertas

Outra descoberta importante no relatório da Anistia confirmou a atribuição anterior de domínios suspeitos de infecção, que imitam sites legítimos de notícias cazaques, e infraestrutura ao Predator.

“Embora nenhuma vítima do ataque ao spyware Predator tenha sido identificada no Cazaquistão, investigações anteriores do Laboratório de Segurança documentaram o hacking ilegal de pelo menos quatro jovens ativistas cazaques com spyware Pegasus em 2021”, disse o relatório da Anistia.

Com base na análise de infraestrutura, o Grupo Insikt da Recorded Future avaliou que o cazaquestan continuou, pelo menos até agosto de 2025, a usar o spyware Predator.

O relatório também revelou várias entidades recém-identificadas no nexo da Intellexa, incluindo algumas ligadas ao cluster tcheco do consórcio e uma nas Filipinas.

Os dados da Intellexa analisados durante as investigações também mostraram potenciais novas vítimas na Grécia e no Egito, além de evidências de que clientes baseados no Egito e na Arábia Saudita ainda estão ativos.

Nos últimos dois anos, o Grupo Insikt da Recorded Future identificou suspeitos de operadores do Predator em mais de uma dúzia de países, incluindo Angola, Armênia, Botsuana, República Democrática do Congo, Egito, Grécia, Indonésia, Cazaquistão, Mongólia, Moçambique, Omã, Filipinas, Arábia Saudita, Sudão, Trinidad e Tobago e Vietnã.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.