Intellexa Leaks: Τρομακτική αποκάλυψη για Predator - Πώς μολύνει κινητά μέσω διαδικτυακών διαφημίσεων

Στοιχεία που έρχονται για πρώτη φορά στη δημοσιότητα στο πλαίσιο διεθνούς έρευνας αποκαλύπτουν νέες επιθέσεις του Predator ενώ ρίχνουν φως σε μέχρι πρότινος άγνωστες πτυχές των δυνατοτήτων της Intellexa να έχει πρόσβαση σε συστήματα πελατών της και ευαίσθητες πληροφορίες στόχων τους.

Το Google Threat Intelligence, το Security Lab της Amnesty International και η Recorded Future δημοσιεύσαν ταυτόχρονα νέα τεχνικά και επιχειρησιακά ευρήματα για τις μεθόδους της Intellexa. Επίσης, δημοσιεύτηκε και η μεγάλη κοινή δημοσιογραφική έρευνα «Intellexa Leaks», αποτέλεσμα συνεργασίας του Inside Story, της ισραηλινής Haaretz και του WAV Research Collective στην Ελβετία.
Τα Intellexa Leaks αποκαλύπτουν υλικό που διέρρευσε από την Intellexa την περίοδο 2018-2025, το οποίο σε συνδυασμό με την εγκληματολογική ανάλυση από το Security Lab της Διεθνούς Αμνηστίας αποκαλύπτει νέους πελάτες, αλλά και παλιούς, που εξακολουθούν να είναι ενεργοί.

Η έρευνα ρίχνει επίσης φως στον εσωτερικό τρόπο λειτουργίας της εταιρείας του spyware. Τα διαρρεύσαντα έγγραφα επιτρέπουν να αποδοθούν με σιγουριά παλαιότερες επιθέσεις σε πελάτες της Intellexa — ανάμεσά τους και η επίθεση που δέχθηκε ο δημοσιογράφος Θανάσης Κουκάκης.

Το πλέον κρίσιμο είναι το ότι τα αρχεία δείχνουν πως σε ορισμένες περιπτώσεις η Intellexa είχε τεχνική δυνατότητα να συνδέεται απομακρυσμένα στα συστήματα παρακολούθησης των πελατών της μετά την εγκατάστασή τους και κατά τη διάρκεια κανονικών επιχειρήσεων.

Η απομακρυσμένη πρόσβαση, ακόμη και αν παρουσιάζεται ως τεχνική υποστήριξη, δημιουργεί σοβαρό νομικό ζήτημα. Εάν ένας κατασκευαστής spyware έχει τη δυνατότητα να βλέπει δεδομένα από ενεργές κρατικές επιχειρήσεις παρακολούθησης, τότε ενδέχεται να φέρει ευθύνη για παράνομες ή καταχρηστικές στοχεύσεις.

Η νέα αυτή πληροφορία έρχεται σε μια κρίσιμη στιγμή, καθώς στην Ελλάδα εξελίσσεται η ποινική δίκη για παραβίαση απορρήτου τηλεπικοινωνιών, στην οποία κατηγορούμενοι είναι τέσσερα άτομα — τρία από τα οποία συνδέονται με την Intellexa.

Η Haaretz, στις 26 Νοεμβρίου, ζήτησε από την Intellexa να διευκρινίσει εάν είχε πρόσβαση στα συστήματα των πελατών, εάν αυτή η πρόσβαση είχε εγκριθεί και εάν υπήρχαν τεχνικά όρια. Η απάντηση που ήρθε στις 3 Δεκεμβρίου από νομικό εκπρόσωπο του ιδρυτή της Intellexa, Tal Dilian, ήταν ότι «δεν έχει διαπράξει κανένα έγκλημα και δεν έχει λειτουργήσει οποιοδήποτε cyber σύστημα στην Ελλάδα ή αλλού». Ωστόσο, δεν απαντήθηκαν τα κρίσιμα ερωτήματα που αφορούν την ουσία της υπόθεσης.

Παρά τις πολυάριθμες αποκαλύψεις, τις οικονομικές κυρώσεις και την ανοικτή δικαστική υπόθεση της στην Ελλάδα, η Intellexa εξακολουθεί να δραστηριοποιείται και να πουλά τα προϊόντα της. Από τις σημερινές δημοσιογραφικές αποκαλύψεις τεκμηριώνεται η απόπειρα μόλυνσης του τηλεφώνου ενός δικηγόρου ανθρωπίνων δικαιωμάτων στο Πακιστάν το καλοκαίρι του 2025 με τεχνολογία της Intellexa.

Μόλυνση μέσω διαφημίσεων

Παράλληλα, η Intellexa εξακολουθεί να έχει πρόσβαση σε σύγχρονα zero-day exploits και επεκτείνει διαρκώς τις μεθόδους μόλυνσης συσκευών. Η πιο ανησυχητική εξέλιξη είναι το σύστημα Aladdin, το οποίο επιτρέπει την εγκατάσταση του λογισμικού Predator απλώς με την προβολή μιας κακόβουλης διαφήμισης — χωρίς να χρειαστεί ο χρήστης να κάνει κλικ.

Τα υλικά μάρκετινγκ και οι εσωτερικές παρουσιάσεις της Intellexa επιβεβαιώνουν πλέον ότι η εταιρεία κατάφερε να αναπτύξει το εργαλείο και αποκαλύπτουν τον τρόπο λειτουργίας του: ο στόχος μολύνεται μέσω κακόβουλης διαφήμισης που προορίζεται συγκεκριμένα γι αυτόν. Δεν υπάρχει ανάγκη για ψεύτικο λινκ όπως έγινε με τους στόχους στην Ελλάδα και αλλού: αυτή είναι μια δυνατότητα που η εταιρεία περιγράφει ως «σχεδόν μηδενικού κλικ». Σε αντίθεση με το προϊόν της Insanet, το Aladdin της Intellexa καταφέρνει να εκμεταλλευτεί το σύστημα διαδικτυακών διαφημίσεων με αυτόν τον τρόπο μόνο εάν ο πελάτης συνεργάζεται με έναν τοπικό πάροχο υπηρεσιών διαδικτύου. Με άλλα λόγια, η μόλυνση μέσω διαφημίσεων μέσω του Aladdin απαιτεί συγκεκριμένα τη συνεργασία του ISP για την απόκτηση διευθύνσεων IP για στόχευση.

Η εικόνα της Intellexa μέσα από τα διαρρεύσαντα αρχεία

Τα βίντεο και τα τεχνικά αρχεία των Intellexa Leaks δείχνουν πώς λειτουργεί το Predator μέσα στην πράξη. Σε ένα χαρακτηριστικό εκπαιδευτικό βίντεο, εκπαιδευτής της εταιρείας συνδέεται ζωντανά στο σύστημα πελάτη με την ονομασία EAGLE_2 και περιηγείται στα δεδομένα που έχουν συλλεχθεί από θύματα.

Σε αυτά φαίνονται πραγματικές απόπειρες μόλυνσης — όπως μια στο Καζακστάν, όπου καταγράφεται το IP του στόχου και η τεχνική διαδικασία της επίθεσης. Εντοπίζονται επίσης κακόβουλοι τομείς που χρησιμοποιούνται ως «δήθεν ειδησεογραφικές ιστοσελίδες» για να ξεγελούν τα θύματα. Η Amnesty επιβεβαιώνει ότι αυτοί οι τομείς ανήκουν στην υποδομή του Predator.

Παράλληλα, τα αρχεία αποκαλύπτουν το πώς η Intellexa έχει αναπτύξει ένα ολόκληρο σύστημα πολλαπλών μεθόδων μόλυνσης: από παραδοσιακά links, μέχρι εργαλεία που χρησιμοποιούν παρόχους τηλεφωνίας για να παρεμβάλλουν κακόβουλο κώδικα στο traffic του χρήστη. Το πιο επικίνδυνο από αυτά παραμένει το προαναφερόμενο Aladdin.

Το δίκτυο εταιρειών γύρω από την Intellexa

Στη σημερινή της έκθεση η Recorded Future χαρτογραφεί το διεθνές εταιρικό δίκτυο γύρω από την Intellexa. Η έρευνα αποκαλύπτει δεκάδες εταιρείες-βιτρίνες σε Ευρώπη, Αφρική, Ασία και Μέση Ανατολή, που λειτουργούν ως κομμάτια ενός παγκόσμιου συστήματος: εταιρείες διαφήμισης που σχετίζονται με το Aladdin, εταιρείες logistics που μεταφέρουν εξοπλισμό, εταιρείες τεχνολογίας που φιλοξενούν servers.

Χαρακτηριστικό παράδειγμα είναι η PULSE FZCO στα Ηνωμένα Αραβικά Εμιράτα, η οποία εντοπίστηκε να αποστέλλει εξοπλισμό σε υπηρεσίες πληροφοριών της Μποτσουάνα και σε εταιρεία του Καζακστάν — χώρες στις οποίες, λίγο αργότερα, εμφανίστηκαν επιχειρήσεις Predator.

Ανάμεσα στις χώρες που συνδέονται με το δίκτυο βρίσκεται και η Ελλάδα. Η Recorded Future αναφέρει ότι η Αθήνα υπήρξε κέντρο εκπαίδευσης χειριστών Predator, ενώ εταιρείες που σχετίζονται με την Intellexa εμπλέκονται στο σκάνδαλο Predatorgate, το οποίο παραμένει υπό διερεύνηση.

Τα τεχνικά ευρήματα της Google

Η εικόνα ολοκληρώνεται με τις σημερινές αποκαλύψεις της Google Threat Intelligence Group, η οποία επιβεβαιώνει ότι η Intellexa είναι ένας από τους πιο ενεργούς εκμεταλλευτές zero-day ευπαθειών σε κινητά τηλέφωνα. Όπως αναφέρει, από το 2021 έχουν αποδοθεί στην εταιρεία τουλάχιστον 15 κρίσιμα zero-days.

Το 2025, μια νέα επίθεση που εντοπίστηκε ανάγκασε τη Google να εκδώσει έκτακτη ενημέρωση ασφαλείας και να ειδοποιήσει εκατοντάδες πιθανά θύματα σε πολλές χώρες.Η Google εντόπισε ότι σε συσκευές εγκαταστάθηκε κακόβουλο λογισμικό της Intellexa χωρίς καμία ενέργεια από τον χρήστη. Το εργαλείο PREYHUNTER μπορούσε να καταγράφει συνομιλίες, πληκτρολογήσεις και εικόνες από την κάμερα.

Λόγω της σοβαρότητας της υπόθεσης, η Google προχώρησε σε ενημέρωση κυβερνήσεων και κρατικών οργανισμών σε πολλές χώρες. Παράλληλα, έστειλε εκατοντάδες ειδοποιήσεις σε άτομα που στοχοποιήθηκαν από πελάτες της Intellexa, σε χώρες όπως Πακιστάν, Καζακστάν, Αίγυπτο, Σαουδική Αραβία και άλλες.

Η Google δημοσιοποίησε επίσης την έρευνα, πρόσθεσε όλους τους κακόβουλους ιστότοπους στο Safe Browsing και κάλεσε τις κυβερνήσεις να ενισχύσουν τα μέτρα προστασίας και να στηρίξουν διεθνείς προσπάθειες για τον περιορισμό της εμπορικής κατασκοπείας.

Το σύνολο των αποκαλύψεων δείχνει ότι η Intellexa λειτουργεί ως ένα πλήρες οικοσύστημα, όχι ως μια απλή εταιρεία τεχνολογίας. Παράγει exploits, συνδέεται με κυβερνητικές υπηρεσίες, μεταφέρει εξοπλισμό, διεισδύει στη διαδικτυακή διαφήμιση και — το πιο ανησυχητικό — φαίνεται πως διατηρεί πρόσβαση στα ίδια τα συστήματα παρακολούθησης που εγκαθιστά.

Διαβάστε ακόμη

Αυτά είναι τα πρόσωπα που αναζήτησαν περισσότερο οι Έλληνες στη Google - «Πρωτιά» για την Klavdia

Είναι επίσημο: Η Netflix εξαγοράζει την Warner Bros για αστρονομικό ποσό

Παράνομες συνταγογραφήσεις με κέρδη πάνω από 100.000 ευρώ: Τρεις συλλήψεις - Η ανακοίνωση του ΕΟΠΥΥ

Έφηβος εξομολογείται πώς κατέληξε σε ηλικία 13 ετών να κάνει 11 γραμμαρία κεταμίνης την ημέρα