文章总结： 以色列Intellexa公司开发的Predator间谍软件无视国际制裁继续全球运营，利用0day漏洞和广告网络传播，已扩散至十多个国家。该软件技术先进，几乎不留取证痕迹，可通过零点击方式入侵设备。商业间谍软件行业发展速度超过全球监管机制适应速度，专家建议采用分层防护措施和特定安全功能降低风险。 综合评分： 86 文章分类： 恶意软件,漏洞分析,威胁情报,移动安全,安全大事件

以色列商业间谍软件Predator(捕食者)无视美国制裁成为隐蔽世界最顽固的参与者

会杀毒的单反狗

军哥网络安全读报

2025年12月15日 09:40 湖北

导读

尽管面临全球多国政府日益严格的审查、国际制裁和持续的调查，但以色列人开发的 Intellexa 商业网络间谍软件仍是这个隐秘世界中最具争议和最顽固的参与者之一。

Intellexa公司最广为人知的产品是其旗舰监控解决方案——Predator(捕食者)间谍软件套件，该公司已多次证明其能够凌驾于监管范围之上。由多个机构联合开展的调查，并参考了机密内部记录、泄露的销售演示文稿、培训材料以及其他经国际特赦组织核实的敏感公司文件，结果显示Intellexa公司仍在高效运营，甚至扩大了业务范围。

该公司的一个显著特点是：它持续依赖针对浏览器的0day漏洞。谷歌威胁分析小组最近发布的一份分析报告也印证了这一点，该报告发现了15个与Predator部署相关的全新0day漏洞。

据调查人员称，Intellexa公司经常从身份不明的独立黑客手中购买漏洞，将其用于秘密行动，并在漏洞被广泛知晓并修复后才将其弃用。这种获取、利用和“销毁”0day漏洞的循环，凸显Predator（捕食者）恶意软件的复杂功能以及支撑它的间谍软件市场令人担忧的韧性。

调查人员还发现了一种平行运作方式，即利用阿拉丁（Aladdin）软件通过在线广告悄悄传播间谍软件。与以往依赖网络钓鱼或用户互动的模式不同，阿拉丁广告并非通过网络钓鱼或用户互动，而是通过主流广告网络投放，并嵌入在访问量巨大的网站和移动应用程序看似合法的位置中。

当页面加载完毕并点击选定的目标后，攻击即可完成。无需点击、安装或显示任何警告。这些攻击利用了精心设计的复杂广告投放基础设施，该基础设施故意设计得错综复杂，因为它通过位于爱尔兰、德国、瑞士、希腊、塞浦路斯、阿联酋和匈牙利等多个国家的多个幌子公司和代理商进行路由。

由于这种分散式架构，攻击者的身份难以辨认，监管机构和安全团队也因此无法检测和阻止恶意流量。分析人士认为，鉴于这些发展，威胁形势已发生决定性转变：间谍软件攻击者正从社会工程学策略转向无摩擦、自动化的攻击渠道，这使得入侵成功的可能性降低。

尽管威胁形势变得越来越复杂，但专家建议，分层保护措施（包括强大的广告拦截、限制性脚本策略、基于 DNS 的过滤工具和勤奋的软件补丁）仍然非常重要，以确保这些攻击途径不会渗透到网络中。

不可否认的是，像 Intellexa 这样的受制裁供应商仍在继续运营，而像 Aladdin 这样的平台的快速发展凸显了一个令人警醒的现实：商业间谍软件行业的适应速度超过了全球监管机制的适应速度，导致雇佣间谍软件行业不断壮大。

对 Intellexa 生态系统的深入分析表明，Predator 本身已演变为有史以来最复杂、最难以捉摸的雇佣兵间谍软件平台。该工具至少从 2019 年起就一直处于活跃状态。尽管它最初由 Cytrox 开发，但似乎是由一系列与 Intellexa 有关联的实体维护和分发的，其活动范围远远超出了最初的覆盖范围。

Predator 的技术设计旨在提供极致的隐蔽性：它几乎不留下任何取证痕迹，难以通过常规分析手段进行检测，并且使得独立验证变得异常困难。安装此间谍软件后，攻击者将拥有强大的监控能力，例如实时访问设备的麦克风、摄像头、文件、通信记录以及云同步数据。

Predator 主要基于 Python 组件构建，其模块化架构允许在不重新感染设备的情况下动态添加新功能，这种灵活性使其对寻求秘密、持续访问移动设备的政府极具吸引力。

该平台既支持传统的“一键式”入侵方式（涉及精心设计的社交工程链接），也支持更先进的“零点击式”入侵方式（无需用户进行任何交互，例如网络注入或基于邻近性的传播）。

虽然目前还没有证据表明像 FORCEEDENTRY 或 BLASTPASS 这样的远程即时通讯应用零点击漏洞，或者 NSO 集团的 Pegasus 漏洞，正在被大规模地使用，但从文档中可以清楚地看出，当满足某些条件时，Predator 操作员仍然能够进行静默访问。

过去两年，Recorded Future旗下的Insikt Group收集的信息表明，Predator（捕食者）间谍软件的活动已遍及十几个国家，包括安哥拉、亚美尼亚、博茨瓦纳、民主刚果、埃及、印度尼西亚、哈萨克斯坦、蒙古、莫桑比克、阿曼、菲律宾、沙特阿拉伯以及特立尼达和多巴哥。

此外，根据更多证据，希腊、苏丹和越南也发现了Predator（捕食者）间谍软件的部署，而这些国家政府的参与程度各不相同。

希腊受此次政治事件的影响最为严重，有消息披露Predator（捕食者）间谍软件曾被用于攻击记者、反对派政客、商界领袖和其他公众人物，引发了议会质询、刑事调查，以及一场持续至今的全国性丑闻，被称为“捕食者门”。

泄露的材料不仅揭示了Intellexa公司日益丰富的病毒投放手段，还证实了一种鲜为人知的载体——代号为“海神”（Triton）的病毒载体——已被发现。

Triton旨在通过利用基带漏洞入侵基于三星Exynos芯片组的设备，使其遭受攻击——有时甚至会迫使设备降频至2G网络，从而为感染创造条件。

据国际特赦组织的研究人员称，目前尚不清楚Triton是否仍在运行。然而，有消息称存在另外两种机制，它们似乎利用了射频干扰或直接物理访问技术。这两种机制分别被称为Thor和Oberon。

尽管这些攻击向量的具体功能尚不明确，但Intellexa内部资料的披露表明该组织在技术方面有着广泛的野心。据报道，Intellexa也是利用谷歌威胁分析小组自2021年以来记录的0day漏洞进行攻击的最积极的商业机构之一。在其中15起案例中，Intellexa的活动被明确归咎于此。

据谷歌研究人员称，该公司既开发自己的漏洞利用链，也从外部代理商处获取更多漏洞，以此扩大其运营范围，这是一种双重漏洞利用链策略。国际特赦组织的报告指出，即使在希腊受到制裁和全面调查之后，Intellexa 仍然完全运作，而 Predator 间谍软件的工具也因此变得越来越隐蔽，难以进行取证分析。

许多安全专家警告称，随着Predator（捕食者）技术的不断进步，用户可能需要采取更严格的预防措施来保护自己免受这些快速发展的移动漏洞利用框架的侵害，例如使用安卓系统的“高级保护”功能和苹果公司的“锁定模式”，以降低相关风险。

尽管国际社会对此日益关注，但目前没有任何迹象表明商业监控工具的整体市场会在短期内放缓。

分析人士的一份报告指出，间谍软件行业存在着根深蒂固的经济利益驱动，使其得以继续生存：各国政府仍然需要强大的数字监控工具，而供应商则渴望通过设计更复杂的产品来满足这一需求，这些产品能够绕过现有的安全措施。新玩家不断涌入市场的趋势预计将持续下去，直到有新的玩家加入，这将使攻击性网络工具更容易获取，并促使现有开发商进一步改进其平台，以满足新玩家的需求。

多项监管措施已经启动，尤其是在欧盟，正在进行的调查可能会促使对侵入性技术的销售和使用进行更严格的监管。但专家警告说，目前仍然缺乏有效的全球协调机制。例如，在建立更强有力的国际机制之前，“捕食者”（Predator）仍将是一个潜在威胁。

即使面临制裁、公开披露或暂时的运营挫折，像Predator这样的平台也并非罕见地会再次出现。最近的报告进一步印证了这一现实，这些报告指出，Predator的基础设施已经卷土重来，并且更加隐蔽、冗余，取证痕迹也更少，这使得追踪和检测威胁变得更加困难。

安全专家指出，尽管没有万无一失的防御策略，但提高安全意识、加强公开透明的报告机制以及严格执行监管措施，可以显著限制雇佣间谍软件的传播范围。

谷歌官方博客：

《Intellexa 仍在继续从事间谍活动：其频繁的零日漏洞利用仍在进行》

https://cloud.google.com/blog/topics/threat-intelligence/intellexa-zero-day-exploits-continue

Insikt Group ：《聚焦 Intellexa 及其旗下 Predator 间谍软件生态》

https://assets.recordedfuture.com/insikt-report-pdfs/2025/cta-2025-1203.pdf

新闻链接：

https://www.cysecurity.news/2025/12/emerging-predator-spyware-technique.html

今日安全资讯速递

APT事件

Advanced Persistent Threat

与哈马斯有关的Ashen Lepus 黑客组织利用新型 AshTag 恶意软件攻击中东外交机构

Ashen Lepus Hacker Group Attacks Eastern Diplomatic Entities With New AshTag Malware

以色列商业间谍软件Predator(捕食者)无视美国制裁成为隐蔽世界最顽固的参与者

https://www.cysecurity.news/2025/12/emerging-predator-spyware-technique.html

一般威胁事件

General Threat Incidents

黑客利用隐藏在 ISO 文件中的幻影窃取程序攻击俄罗斯企业财务部门

Hackers Target Windows Systems Using Phantom Stealer Hidden in ISO Files

恶意 VS Code 扩展程序将恶意软件隐藏在 PNG 文件中

https://www.esecurityplanet.com/threats/malicious-vs-code-extensions-hide-malware-in-png-files/

基于 Rust 的 01flip 勒索软件攻击 Windows 和 Linux 系统

https://www.esecurityplanet.com/threats/rust-based-01flip-ransomware-hits-windows-and-linux/

黑客推出基于 Rust 的 Luca 信息窃取程序，攻击 Linux 和 Windows 系统

Hackers Launch Rust-Based Luca Stealer Targeting Linux and Windows

NANOREMOTE恶意软件利用Google Drive API进行命令与控制（C2）攻击Windows系统

NANOREMOTE Malware Leverages Google Drive API for Command-and-Control (C2) to Attack Windows Systems

ConsentFix 新攻击允许攻击者利用 Azure CLI 劫持 Microsoft 帐户

New ConsentFix Attack Let Attackers Hijack Microsoft Accounts by Leveraging Azure CLI

亲俄黑客组织CyberVolk利用新型VolkLocker有效载荷攻击Linux和Windows系统

CyberVolk Hackers Group With New VolkLocker Payloads Attacks both Linux and Windows Systems

人工智能驱动的GitHub供应链攻击瞄准研究人员和开发人员

Researchers and Developers Targeted in AI-Driven GitHub Supply Chain Attack

伪造的 GitHub 开源情报工具传播 PyStoreRAT 恶意软件

https://www.cysecurity.news/2025/12/fake-github-osint-tools-spread.html

漏洞事件

Vulnerability Incidents

GitLab 关键漏洞暴露 DevOps 流水线

https://www.esecurityplanet.com/threats/critical-gitlab-vulnerabilities-expose-devops-pipelines/

Jenkins DoS漏洞允许攻击者冻结CI/CD流水线

https://www.esecurityplanet.com/threats/jenkins-dos-vulnerability-lets-attackers-freeze-ci-cd-pipelines/

React2Shell 发布后，又发现了三个新的 React 漏洞

https://www.sonatype.com/blog/three-new-react-vulnerabilities-surface

Apache Struts 2 的 DoS 漏洞可导致服务器崩溃

Apache Struts 2 DoS Vulnerability Let Attackers Crash Server

微软 RasMan DoS 零日漏洞获得非官方补丁

https://www.theregister.com/2025/12/12/microsoft_windows_rasman_dos_0day/

Windows Defender 防火墙漏洞导致敏感内存泄漏

https://www.esecurityplanet.com/threats/windows-defender-firewall-bug-leaks-sensitive-memory/

CISA警告：谷歌Chromium零日漏洞（CVE-2025-14174）已被攻击者利用

CISA Warns of Google Chromium 0-Day Vulnerability Exploited in Attacks

CISA新增已被积极利用的Sierra无线路由器漏洞，该漏洞可导致远程代码执行攻击

https://thehackernews.com/2025/12/cisa-adds-actively-exploited-sierra.html

Notepad++ 修复一个漏洞，该漏洞允许攻击者劫持更新程序

Notepad++ fixed updater bugs that allowed malicious update hijacking

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

查看原文：《以色列商业间谍软件Predator(捕食者)无视美国制裁成为隐蔽世界最顽固的参与者》