文章总结： Jamf最新研究指出Predator间谍软件具备自我诊断能力。它能通过特定错误代码将攻击失败信息反馈给C2，从而改进未来版本以规避检测。此外，该软件还能篡改崩溃日志并识别开发者模式。这种高度适应性使其比Pegasus更难被防御，相关机制为安全研究提供了重要参考。 综合评分： 90 文章分类： 恶意软件,移动安全,威胁情报

以色列Predator间谍软件将失败的攻击转化为未来攻击的情报

会杀毒的单反狗

军哥网络安全读报

2026年1月15日 09:01 湖北

导读

最新研究表明，臭名昭著的“Predator（捕食者）”间谍软件比之前人们认识到的更加复杂和危险。

Predator 最初由 Cytrox 公司开发，是一款功能强大的商业间谍软件。Cytrox 公司于 2018 年被以色列前军事情报官员塔尔·迪利安 (Tal Dilian) 收购。2019 年，他创立了 Intellexa 公司，作为包括 Predator 在内的多种监控工具的营销平台。Predator 是 Intellexa 公司最知名的产品。

Predator面向各国政府和情报机构销售和使用。目前，许多分析人士认为它比可能更为知名的NSO集团的Pegasus系统更活跃、适应性更强。Cytrox和Intellexa都曾受到美国政府的制裁。

2024年12月，谷歌威胁情报小组（GTIG）发布了关于Predator代码的研究报告。现在，Jamf Threat Labs 发布了一项针对独立样本的新研究，详细介绍了此前未记录的机制，展现了Predator的复杂性。

研究表明 Predator 不仅仅是间谍软件，而是一个自我诊断工具，它会向开发者返回信息，说明为什么某个攻击可能会失败——它可以从自身的失败中吸取教训，从而改进未来的版本，使其能够抵御检测和分析。

Jamf Threat Labs 的报告称：“CSWatcherSpawner 架构的显著特点不仅在于其检查范围之广，还在于其报告机制，该机制可在部署失败时为操作员提供精确的诊断信息。”

研究人员发现了一种由间谍软件的反分析组件激活的错误代码分类系统。这些代码会在恶意软件清理并退出之前，将攻击中止的原因信息（例如安全/分析工具正在运行、HTTP代理已配置等）发送到C2基础设施。

值得注意的是，尽管错误代码按顺序出现，但编号中存在空白，这让 Jamf 怀疑缺失的代码可能预留给 Predator 的未来版本，也可能是特定版本特有的，或者是早期版本中移除的功能，又或者是多个 Intellexa 工具共享的中央分类体系的一部分。

无论原因如何，这种分类体系的使用及其内部的空白都体现了该产品的适应性。“这套错误代码系统将部署失败从黑匣子转变为诊断事件。”Jamf 评论道。

并非所有错误检测结果都是未知的。例如，谷歌曾指出 Predator 可以检测到苹果的开发者模式，但 Jamf 对此进行了更深入的解释。开发者模式是 iOS 16 中专门为安全研究人员和开发者推出的。“通过检测到这一点，Predator 实际上是在说：‘如果你启用了开发者功能，那么你可能不是普通的攻击目标。’”

谷歌还指出，Predator 会避开美国和以色列的运行。Jamf 对此进行了解释。避开美国可能是由于美国的制裁，以及为了避免美国机构的更严格审查。避开以色列的原因则不太容易解释，但可能与 Dilian 对以色列更广泛的网络情报行动的范围、活动和能力的个人了解有关。

Jamf 的分析中有一项新发现，即发现了一种与崩溃报告相关的反取证程序。当发生可能暴露 Predator 存在的崩溃时，该恶意软件会在目标崩溃日志被同步或检查之前对其进行处理或删除。此过程专门针对内存取证证据。崩溃日志对于检测攻击尝试至关重要，而 Predator 会主动阻止它们。

Jamf 传递的信息是，Predator，尤其是其反分析能力，比之前人们所了解的要复杂得多。这些新细节或许能帮助研究人员规避 Predator 的检测，但可能仅适用于当前版本或变种。

技术报告：

《捕食者的“终止开关”：iOS间谍软件中未公开的反分析技术》

https://www.jamf.com/blog/predator-spyware-anti-analysis-techniques-ios-error-codes-detection/

新闻链接：

https://www.securityweek.com/predator-spywares-granular-anti-analysis-features-exposed/

今日安全资讯速递

APT事件

Advanced Persistent Threat

乌克兰CERT-UA 报告称，乌军遭受 PLUGGYAPE 网络攻击

CERT-UA reports PLUGGYAPE cyberattacks on defense forces

新型Linux恶意软件VoidLink 以云端为目标，窃取凭证后消失

https://www.theregister.com/2026/01/14/voidlink_linux_malware/

波兰称击退了针对其电网的大规模网络攻击

https://therecord.media/poland-cyberattack-grid-russia

以色列Predator间谍软件将失败的攻击转化为未来攻击的情报

https://www.securityweek.com/predator-spywares-granular-anti-analysis-features-exposed/

俄黑客组织APT28发起针对能源和政策机构的凭证窃取活动

https://thehackernews.com/2026/01/russian-apt28-runs-credential-stealing.html

FBI警告称，曹县APT组织Kimsuky正利用钓鱼攻击针对各国政府、智库和学术机构

North Korea–linked APT Kimsuky behind quishing attacks, FBI warns

MuddyWater通过鱼叉式钓鱼在中东地区投放RustyWater远程访问木马

https://thehackernews.com/2026/01/muddywater-launches-rustywater-rat-via.html

一般威胁事件

General Threat Incidents

黑客声称入侵俄罗斯Max Messenger通讯软件，并威胁泄露数据

Hacker Claims Full Breach of Russia’s Max Messenger, Threatens Public Leak

微软捣毁导致4000万美元诈骗损失的RedVDS网络犯罪平台

https://therecord.media/microsoft-redvds-cybercrime-scam

黑客利用 c-ares DLL 侧加载漏洞绕过安全防护并部署恶意软件

https://thehackernews.com/2026/01/hackers-exploit-c-ares-dll-side-loading.html

隐蔽的 CastleLoader 恶意软件攻击美国政府机构和关键基础设施

Stealthy CastleLoader Malware Attacking US Government Agencies and Critical Infrastructure

研究人员封锁了超过 550 个 Kimwolf 和 Aisuru 僵尸网络命令服务器

https://thehackernews.com/2026/01/kimwolf-botnet-infected-over-2-million.html

黑客利用伪造的PayPal通知窃取凭证，部署远程监控监控系统

https://www.infosecurity-magazine.com/news/hackers-fake-paypal-notices-deploy/

欧洲铁路公司（Interrail）已确认客户信息在数据泄露事件中被盗

https://www.theregister.com/2026/01/14/eurail_breach/

网络攻击迫使比利时医院转移重症监护病人

AZ Monica hospital in Belgium shuts down servers after cyberattack

韩国巨头Kyowon证实遭遇勒索软件攻击，数据被盗

https://www.bleepingcomputer.com/news/security/south-korean-giant-kyowon-confirms-data-theft-in-ransomware-attack/

漏洞事件

Vulnerability Incidents

Fortinet FortiSIEM 严重命令注入漏洞（CVE-2025-64155）的利用代码已发布

CVE-2025-64155: Exploit Code Released for Critical Fortinet FortiSIEM Command Injection Vulnerability

Fortinet修复了FortiFone和FortiSIEM中的两个关键缺陷

Fortinet fixed two critical flaws in FortiFone and FortiSIEM

Elastic 补丁修复了多个漏洞，这些漏洞可能导致任意文件窃取和拒绝服务攻击

Elastic Patches Multiple Vulnerabilities That Enables Arbitrary File Theft and DoS Attacks

Spring CLI 工具漏洞允许在用户机器上执行命令

Spring CLI Tool Vulnerability Enables Command Execution on the Users Machine

Node.js发布关键更新以修复重大漏洞

Node.js Releases Critical Updates to Fix Major Vulnerabilities

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《以色列Predator间谍软件将失败的攻击转化为未来攻击的情报》