Predator Still Active, with New Client and Corporate Links Identified
Executive Summary
Nach den bedeutenden öffentlichen Enthüllungen der Insikt Group und anderer in den letzten zwei Jahren sowie den Sanktionen der US-Regierung gegen das Intellexa-Konsortium – die organisatorische Struktur hinter der mobilen Predator-Spyware – stellte die Insikt Group einen signifikanten Rückgang der Aktivitäten im Zusammenhang mit Predator fest. Dieser offensichtliche Rückgang warf Fragen darüber auf, ob die Kombination aus US-Sanktionen, öffentlicher Bekanntmachung und breiteren internationalen Bemühungen zur Eindämmung der Verbreitung von Spyware, wie der von Großbritannien und Frankreich geführte Pall-Mall-Prozess, den Operationen von Intellexa einen dauerhaften Schlag versetzt hat. Dennoch hat die Predator-Aktivität nicht aufgehört, und in den letzten Monaten hat die Insikt Group ein Wiederaufleben der Aktivitäten beobachtet, was die anhaltende Beharrlichkeit der Betreiber widerspiegelt. Während ein Großteil der identifizierten Infrastruktur mit bekannten Predator-Betreibern in Ländern verbunden ist, die zuvor von der Insikt Group identifiziert wurden, wurde auch ein neuer Kunde in Mosambik entdeckt – einem Land, das zuvor nicht öffentlich mit der Spyware in Verbindung gebracht wurde. Dies stimmt mit der allgemeinen Beobachtung überein, dass Predator in Afrika sehr aktiv ist, wobei mehr als die Hälfte seiner identifizierten Kunden auf dem Kontinent ansässig sind. Darüber hinaus hat die Insikt Group eine Verbindung zwischen einer hochrangigen Predator-Infrastruktur und einer tschechischen Einheit festgestellt, die zuvor mit dem Intellexa-Konsortium in Verbindung gebracht wurde.
Der Einsatz von Spyware wie Predator über den legitimen Einsatz im Bereich der Bekämpfung krimineller oder terroristischer Angriffe hinaus stellt eine ernste Bedrohung für die Privatsphäre, die gesetzlichen Rechte und die körperliche Sicherheit sowohl der direkten Ziele als auch der betroffenen Personen dar. Während die meisten bekannten Fälle von Missbrauch die Zivilgesellschaft und politische Aktivisten betrafen, sollten Einzelpersonen und Organisationen in Regionen mit einem bekannten Missbrauch von Spyware, unabhängig vom Sektor, wachsam bleiben. Angesichts des kostspieligen Lizenzmodells von Predator wird seine Nutzung typischerweise für hochrangige, strategische Ziele vorbehalten. Dies macht Politiker, Unternehmensleiter und andere Personen in sensiblen Positionen aufgrund der Informationen, die sie möglicherweise besitzen, besonders anfällig. Der Einsatz von Spionagesoftware gegen politische Gegner wird derzeit in mehreren EU-Ländern untersucht, was die weltweiten Bemühungen widerspiegelt, die Aktivitäten von Mercenary-Spionagesoftware-Entwicklern einzudämmen.
Wie in den früheren Berichten der Insikt Group über Predator beschrieben, sollten die Verteidiger die empfohlenen Best Practices befolgen. Hierzu gehört die Trennung privater und geschäftlicher Geräte, die regelmäßige Aktualisierung von Telefonen, die Förderung regelmäßiger Neustarts von Geräten (wobei sich Predator dadurch möglicherweise nicht immer vollständig ausschließen lässt), die Verwendung des Sperrmodus und die Implementierung eines Mobile-Device-Management-(MDM-)Systems. Darüber hinaus sind Investitionen in Schulungen zum Sicherheitsbewusstsein für Mitarbeiter und die Förderung einer Kultur der minimalen Datenexposition unerlässlich, um das Risiko erfolgreicher Spear-Phishing-Angriffe zu verringern und den Datendiebstahl im Falle eines Sicherheitsvorfalls einzuschränken.
Die Insikt Group geht davon aus, dass der Markt für Mercenary-Spionagesoftware aufgrund der anhaltenden Nachfrage und der Rentabilität der Unternehmen weiter wachsen wird. Dieses Wachstum wird wahrscheinlich von anhaltender Innovation begleitet werden, da der steigende Wettbewerb und die verstärkte IT-Sicherheit unter den Zielen die Entwicklung neuer Produkte und Techniken vorantreiben. Während Verteidiger beispielsweise daran arbeiten, ganze Klassen von Schwachstellen zu beseitigen, können sich Spyware-Betreiber anpassen, indem sie Alternativen wie Cloud-Backups ins Visier nehmen, auf die über gestohlene Anmeldeinformationen zugegriffen wird, oder indem sie neue Bereitstellungsmethoden einsetzen. In dem Maße, wie sich diese Instrumente verbreiten und die Techniken weiterentwickeln, wird sich der Kreis der Opfer wahrscheinlich über die Zivilgesellschaft hinaus erweitern, den politischen Diskurs beeinflussen und weitere rechtliche Auseinandersetzungen auslösen. Jüngste Gerichtsurteile zugunsten von Technologieunternehmen gegen Spyware-Anbieter könnten einen Präzedenzfall schaffen und mehr Firmen dazu ermutigen, aktiv gegen den Missbrauch ihrer Plattformen vorzugehen. Die Insikt Group geht davon aus, dass Spyware-Anbieter weiterhin komplexe Unternehmensstrukturen nutzen werden, um sich Sanktionen oder der Entdeckung zu entziehen, während sie ihre Aktivitäten zunehmend auf bestimmte Regionen zuschneiden - ein Trend, der oft als Balkanisierung des Ökosystems beschrieben wird.
Wichtige Erkenntnisse
- Die Insikt Group hat neue Infrastruktur im Zusammenhang mit Predator identifiziert, was darauf hindeutet, dass die Operationen trotz öffentlicher Enthüllungen, internationaler Sanktionen und politischer Interventionen fortgesetzt werden.
- Die neu identifizierte Infrastruktur umfasst sowohl opfergerichtete Tier-1-Server als auch hochrangige Komponenten, die wahrscheinlich mit Predator-Betreibern in verschiedenen Ländern verbunden sind.
- Obwohl ein Großteil der Predator-Infrastruktur mit früheren Berichten übereinstimmt, haben die Betreiber Änderungen vorgenommen, um sich der Entdeckung weiter zu entziehen – ein Muster, das die Insikt Group in früheren Berichten festgestellt hat.
- Insikt Group hat in den letzten zwölf Monaten in mehreren Ländern Aktivitäten im Zusammenhang mit Predator aufgedeckt und ist die erste, die eine vermutete Präsenz von Predator-Betreibern in Mosambik meldet.
- Die Insikt Group hat auch Komponenten der Infrastruktur von Predator mit einer tschechischen Entität verbunden, die zuvor von einem tschechischen Investigativorgan mit dem Intellexa-Konsortium in Verbindung gebracht wurde.
Hintergrund
Predator ist eine hochentwickelte Mercenary-Spionagesoftware, die sowohl Android- als auch iPhone-Geräte ins Visier nimmt und seit mindestens 2019 aktiv ist. Ursprünglich von Cytrox entwickelt und jetzt unter der Intellexa-Allianz betrieben, ist Predator auf Flexibilität und Unauffälligkeit ausgelegt, hinterlässt nur minimale Spuren auf infizierten Geräten und erschwert externe Untersuchungen von Missbrauch erheblich. Sobald es eingesetzt wird, bietet Predator vollständigen Zugriff auf das Mikrofon, die Kamera und alle Daten eines Geräts – wie Kontakte, Nachrichten, Fotos und Videos – ohne das Wissen des Opfers. Das modulare Design der Spyware, das auf Python basiert, ermöglicht es den Betreibern, neue Funktionen aus der Ferne einzuführen, ohne das Gerät erneut ausnutzen zu müssen.
Predator kann sowohl über „1-Klick“- als auch über „Zero-Klick“-Angriffsvektoren geliefert werden. „1-Klick-Angriffe“ beruhen auf Social-Engineering-Nachrichten mit bösartigen Links, die eine Benutzerinteraktion erfordern (1, 2, 3), während „Zero-Click-Angriffe“, die in den „Predator Files“ beschrieben werden, Techniken beinhalten, die keine Aktion des Ziels erfordern, wie z. B. Network Injection oder Proximity-basierte Methoden Es gibt jedoch keine bestätigten Fälle, in denen Predator vollständig ferngesteuerte „Zero-Click“-Exploits wie die der NSO Group Pegasus verwendet, die Geräte über Messaging-Apps ohne jegliche Benutzerinteraktion kompromittieren können (z. B. FORCEDENTRY oder BLASTPASS).
In den letzten zwei Jahren hat die Insikt Group mutmaßliche Predator-Betreiber in mehr als einem Dutzend Ländern identifiziert, darunter in Angola, Armenien, Botswana, der Demokratischen Republik Kongo, Ägypten, Indonesien, Kasachstan, der Mongolei, Mosambik, Oman, den Philippinen, Saudi-Arabien sowie Trinidad und Tobago(1, 2). Dies ist der erste öffentliche Bericht, der Mosambik als mutmaßlichen Kunden nennt. Während Predator angeblich für die Terrorismusbekämpfung und die Strafverfolgung vermarktet wird, haben frühere Berichte ein klares Muster des Einsatzes gegen Akteure der Zivilgesellschaft, einschließlich Journalisten, Aktivisten und Politiker, dokumentiert(1, 2, 3, 4). Diese in früheren Berichten beschriebenen Fälle stellen wahrscheinlich nur einen kleinen Teil des gesamten Missbrauchs dar, wenn man die weite Verbreitung von Mercenary-Spionageprogrammen wie Predator, die Schwierigkeit der Entdeckung und die begrenzte Unterstützung der Opfer bedenkt. Es ist wichtig, das Risiko grenzüberschreitender Angriffe zu betonen. Dies wurde nicht nur bei Predator beobachtet, wo ein mit Vietnam verbundener Betreiber EU-Beamte und Mitglieder des Europäischen Parlaments ins Visier genommen hat, sondern auch bei anderer Mercenary-Spionagesoftware, wie Pegasus.
Trotz der zunehmenden öffentlichen Berichterstattung über die Infrastruktur und Techniken von Predator sowie der wachsenden Aufmerksamkeit für die Unternehmensstruktur von Intellexa bleiben die Aktivitäten von Predator aktiv. Dieser Trend hält auch nach Maßnahmen wie US-Sanktionen, einer EU-Resolution, einem US-Visaverbot für Intellexa-Tochtergesellschaften und der Einführung des Pall-Mall-Prozesses an, neben wahrscheinlich steigenden Exploit-Kosten, insbesondere für iPhones. Dies spiegelt wahrscheinlich die wachsende Nachfrage nach Spyware-Tools wider, insbesondere in Ländern mit Exportbeschränkungen, laufenden technischen Innovationen als Reaktion auf öffentliche Berichterstattung und Sicherheitsverbesserungen sowie immer komplexeren Unternehmensstrukturen, die darauf ausgelegt sind, Sanktionen und Zuordnungen zu erschweren. Ein solches Beispiel, bei dem es um ein tschechisches Unternehmen geht, das wahrscheinlich mit den Predator-Operationen in Verbindung steht, wird weiter unten in diesem Bericht erörtert.
Bedrohungsanalyse
Tier 1 (C2) Server
Die Insikt Group hat neue, opfergerichtete Tier-1-(C2)-Infrastruktur identifiziert, die höchstwahrscheinlich mit Predator in Verbindung steht, einschließlich Domains und IP-Adressen. Obwohl die spezifischen Funktionen dieser Domains und IP-Adressen noch nicht bestätigt wurden, sind sie wahrscheinlich an der Bereitstellung von Nutzlasten und dem Ausbeutungsprozess beteiligt, was mit früheren Infrastrukturen im Zusammenhang mit Predator übereinstimmt. Eine Tabelle in Anhang B präsentiert die Domains und IP-Adressen, die in den letzten zwölf Monaten beobachtet wurden.
Früher gaben sich Domains, die mit Predator verknüpft waren, oft als bestimmte Organisationen aus, wie häufig besuchte lokale Nachrichtenportale, wie die Insikt Group in der Vergangenheit berichtet hat (1, 2). Dieses Muster begann sich jedoch aufgrund der erhöhten Aufmerksamkeit der Medien und der öffentlichen Berichterstattung ab Ende 2023 allmählich zu ändern. Neuere Domains bestehen nun typischerweise aus zwei oder mehr scheinbar zufälligen englischen Wörtern. Insikt Group hat beobachtet, dass einige dieser Domains bestimmte Schlüsselwörter wiederverwenden; zum Beispiel boundbreeze[.]com und branchbreeze[.]com Teilen Sie das Wort "breeze". In einigen neueren Fällen enthalten die Domains portugiesischsprachige Wörter, die wahrscheinlich die Sprache der beabsichtigten Zielpersonen widerspiegeln. Zusätzlich enthalten bestimmte Domains Schlüsselwörter, die Hinweise auf ihr Targeting geben könnten, wie z. B. keep-badinigroups[.]com, welche sich auf Gemeinschaften oder Gruppen beziehen können, die mit dem Badini-Dialekt verbunden sind, der in der Region Badinan im irakischen Kurdistan gesprochen wird.
Die Mehrheit der identifizierten Domains wurde über den Registrar PDR Ltd. d/b/a PublicDomainRegistry.com registriert und nutzt typischerweise Nameserver, die unter anderem mit orderbox-dns[.]com verbunden sind. Während die Predator-Infrastruktur historisch bestimmte autonome Systemnummern (ASNs) wie AS62005, AS61138 und AS44066 bevorzugt hat, hat die Insikt Group beobachtet, dass neuere, mit Predator verknüpfte Domains auf einer breiteren Palette von ASNs gehostet werden – darunter AS42708, AS20473 und AS44477 – die zuvor nicht mit Predator-Aktivitäten in Verbindung gebracht wurden. Bemerkenswerterweise hat die Insikt Group mindestens einen Fall identifiziert, in dem ein Server, der mit einer höherwertigen Predator-Infrastruktur verbunden war, bei Stark Industries gehostet wurde.
Strategien zur Umgehung der Erkennung von verdächtiger Infrastruktur
Als Reaktion auf die anhaltende öffentliche Enthüllung haben die Betreiber von Predator verschiedene Taktiken angewandt, um der Entdeckung zu entgehen. Dazu gehören unter anderem die Verwendung vielfältigerer Serverkonfigurationen als bisher berichtet, die Erweiterung der Vielfalt der ASNs und die Einführung zusätzlicher Schichten in ihre mehrschichtige Infrastruktur. Eine bemerkenswerte Strategie umfasst die Nutzung gefälschter Websites, die im Allgemeinen in vier Hauptkategorien fallen: gefälschte 404-Fehlerseiten, gefälschte Anmelde- oder Registrierungsseiten, Websites, die angeben, dass sie sich im Aufbau befinden, und Websites, die vorgeben, mit bestimmten Einrichtungen, wie z. B. einer Konferenz, verbunden zu sein (siehe Abbildungen 1-4).
Abbildungen 1–4: Beispiel-Websites, die mit Predator verknüpft sind (Quelle: Recorded Future)
Mehrstufige Infrastruktur
Wie bereits von der Insikt Group berichtet, verwenden Predator-Kunden weiterhin ein mehrstufiges Infrastrukturnetzwerk, das wahrscheinlich so konzipiert ist, um gezielt bestimmte Personen oder Organisationen ansprechen zu können (siehe Abbildung 5). Dieses Netzwerk ähnelt stark der hochrangigen Architektur, die im Bericht von Amnesty vom Oktober 2023 dargestellt wurde, hat sich jedoch seitdem weiterentwickelt. Frühere Versionen der mehrstufigen Infrastruktur von Predator, über die die Insikt Group im März 2024 berichtete, umfassten nur drei Ebenen. Die Hinzufügung einer vierten Ebene im aktuellen Design soll wahrscheinlich die Identifizierung von Ländern, die im Verdacht stehen, Predator einzusetzen, weiter verschleiern.
Abbildung 5: Mehrstufige Infrastruktur, die mit Predator verbunden ist (Quelle: Recorded Future)
Unter Nutzung der Recorded Future® Network Intelligence hat die Insikt Group beobachtet, dass Tier-1-Server kontinuierlich mit einer dedizierten Tier-2-Upstream-IP-Adresse eines virtuellen privaten Servers (VPS) über den Transmission Control Protocol (TCP)-Port 10514 kommunizieren. Diese vorgelagerten Server fungieren wahrscheinlich als Anonymisierungs-Hop-Punkte, wodurch es schwieriger wird, Tier-1-Server direkt mit einzelnen Predator-Kunden in Verbindung zu bringen. Die Kommunikation über TCP-Port 10514 wird ebenfalls konsistent zwischen Tier-2- und Tier-3-Servern beobachtet. Anschließend leiten die Tier-3-Server den Datenverkehr an die Tier-4-Ebene weiter, die anscheinend statischen, inländischen ISP-IP-Adressen entspricht, die vermutlich unter der Kontrolle von Predator-Kunden stehen. In jedem analysierten Fall schienen sowohl die Tier-1-Server als auch die entsprechenden Upstream-Server ausschließlich einem einzigen Kunden zugewiesen zu sein.
Während nur die Ebenen 1 bis 4 direkt mit der Betriebsinfrastruktur der Predator-Kunden verbunden zu sein scheinen, überwacht die Insikt Group auch eine zusätzliche Ebene, die als Ebene 5 bezeichnet wird und eine zentrale, wenn auch noch unklare Rolle bei Predator-bezogenen Operationen zu spielen scheint. Tier 5 Server wurden mit einem Unternehmen in der Tschechischen Republik, FoxITech s.r.o., in Verbindung gebracht, das zuvor öffentlich mit Intellexa in Verbindung gebracht wurde und im Abschnitt Verbindung zur tschechischen Entität näher erörtert wird.
Vermuteter Einsatz von Predator in bestimmten Ländern
Seit die Insikt Group im März 2024 mit der Berichterstattung über Predator begann, wurden mutmaßliche Betreiber der Spyware in über einem Dutzend Ländern weltweit identifiziert. Während einige dieser Betreiber in den letzten zwölf Monaten aktiv geblieben sind, scheint die Aktivität an einigen Standorten eingestellt worden zu sein, wahrscheinlich aufgrund öffentlicher Berichterstattung, was zu einer insgesamt geringeren Anzahl aktueller Predator-Betreiber führt. Zum Beispiel wurden in der Demokratischen Republik Kongo die Operationen etwa zwei Wochen nach der Veröffentlichung der Ergebnisse der Insikt Group zu DRC-bezogenen Aktivitäten im September 2024 anscheinend eingestellt. Auch wurde laut Erkenntnissen von Recorded Future Network Intelligence der mutmaßliche Betreiber in Angola im gleichen Zeitraum inaktiv, Anfang 2025 dann wieder aktiv. Darüber hinaus hat die Insikt Group Beweise für den Einsatz von Predator in Mosambik aufgedeckt – einem Land, in dem vor diesem Bericht keine Predator-Betreiber identifiziert worden waren.
Mozambique
Unter Verwendung von Recorded Future Network Intelligence und anderen Artefakten ordnet die Insikt Group die in Tabelle 1 aufgeführten Domains mit hoher Zuverlässigkeit einem mutmaßlichen Predator-Betreiber mit Sitz in Mosambik zu. Außerdem sind laut verschiedenen technischen Indikatoren in den Quellen von Recorded Future mehrere andere Domains, darunter mdundobeats[.]com, noticiafamosos[.]com, und onelifestyle24[.]com, sowie andere aus Anhang B, wahrscheinlich mit demselben Kunden verbunden. Bemerkenswert ist, dass alle IP-Adressen, die mit diesen Domains verbunden sind, mit Ausnahme derjenigen, die onelifestyle24[.]com hostet, in die gleichen beiden /24 CIDR-Bereiche fallen. Die Insikt Group schätzt unter Verwendung von Recorded Future Network Intelligence und passiven DNS-Daten, dass der mutmaßliche Predator-Betreiber in Mosambik im ersten Halbjahr 2024 aktiv wurde und zum Zeitpunkt der Veröffentlichung dieses Beitrags immer noch aktiv zu sein scheint.
| Domain | IP-Adresse | Anmerkungen |
| canylane[.]com | 169[.]239[.]128[.]42 | N/A |
| flickerxxx[.]com | 169[.]239[.]129[.]57 | Könnte sich als die legitime Online-Foto-Sharing- und Hosting-Plattform Flickr (flickr[.]com) ausgeben. |
| mundoautopro[.]com | 169[.]239[.]128[.]48 | N/A |
| noticiafresca[.]net | 169[.]239[.]128[.]46 | Wahrscheinlich gibt es sich als die legitime mosambikanische Nachrichten-Website Notícias Frescas MZ (noticiasfrescasmz[.]com) aus. |
Tabelle 1: Domains und IP-Adressen, die mit einem Predator-Kunden in Mosambik verbunden sind (Quelle: Recorded Future)
Obwohl es bisher keine öffentliche Berichterstattung gibt, die Predator mit Mosambik in Verbindung bringt, haben frühere Ermittlungen das Land mit anderen Formen der Überwachung in Verbindung gebracht. Im Jahr 2021 wurde in einem Bericht, der sich auf eine Citizen Lab-Analyse aus dem Jahr 2018 stützte, festgestellt, dass Mosambik wahrscheinlich ein Pegasus-Betreiber ist (zu diesem Zeitpunkt gab es keine bestätigten Pegasus-Infektionen in Mosambik). Darüber hinaus enthüllte ein Bericht der mosambikanischen Ermittlungsagentur Verdade aus dem Jahr 2016, dass die Regierung fortschrittliche Überwachungstechnologien erworben hatte und genutzt hat, um die Kommunikation der Bürger zu überwachen.
Zusätzlicher Cluster mit Verbindung zu einem osteuropäischen Land
Während viele der identifizierten Domains und IP-Adressen bestimmten verdächtigen Betreibern in bestimmten Ländern zugeordnet werden können, ist die Zuordnung in anderen Fällen weniger eindeutig. Technische Indikatoren verbinden häufig mehrere Domains und IP-Adressen mit verschiedenen Clustern, die nach Einschätzung der Insikt Group wahrscheinlich vom selben Betreiber kontrolliert werden.
Ein solcher Cluster ist durch seine kurze Aktivitätsperiode aufgefallen. Recorded Future Network Intelligence zeigt, dass dieser Cluster nur von August bis November 2024 aktiv war und wahrscheinlich nur aus zwei Gruppen von Tier-1- bis Tier-4-Servern bestand. Dieser Cluster könnte aufgrund seiner Kürze für Test- und Entwicklungsaktivitäten stehen, oder er könnte aufgrund seines Standorts mit einem osteuropäischen Betreiber verbunden sein. Derzeit ist speedbrawse[.]com die einzige Domain, die mit diesem Cluster verbunden ist. Die Insikt Group geht davon aus, dass die abrupte Einstellung der Geschäftstätigkeit dieses Betreibers auch mit der Eskalation der Sanktionen gegen Intellexa im September 2024 zusammenhängen könnte.
Verbindung zu einer tschechischen Entität
Während der Ermittlungen über den Einsatz von Predator unter anderem gegen den griechischen Journalisten Thanasis Koukakis wies der Staatsanwalt des Obersten Gerichtshofs Griechenlands die Finanzpolizei an, einen Bericht über Unternehmen zu erstellen, die mit dem Intellexa-Konsortium in Verbindung stehen – ein Dokument, das später die tschechische Investigativagentur Investigace.cz erhalten hat. Dieser Bericht enthält eine Lieferantentabelle, die Entitäten auflistet, die mit Intellexa verbunden sind, einschließlich einer Person namens Dvir Horef Hazan. Er wird zusammen mit den im Bericht beschriebenen Verbindungen in Abbildung 6 dargestellt.
Abbildung 6: Verbindungen zwischen der Predator-Infrastruktur und FoxITech s.r.o. (Quelle: Investigace.cz, Recorded Future)
Untersuchungen des tschechischen Outlets ergaben, dass Hazan, ein tschechischer Bistrobesitzer, Programmierer und Unternehmer, der mindestens acht tschechische Unternehmen besitzt, von denen vier auf Marketing, Beratung und IT-Beratung spezialisiert sind, angeblich für Intellexa gearbeitet hat. Griechische Polizeiberichte zeigen, dass Intellexa fast 3 Millionen Euro an Hazan und drei seiner Unternehmen (Zambrano Trade s.r.o., Hadastech s.r.o. und Shilo s.r.o.) für nicht näher bezeichnete Dienstleistungen überwiesen hat. Darüber hinaus zeigen die Aufzeichnungen von Importgenius, dass Hadastech, das ausschließlich von Hazan geleitet wird, zwischen 2020 und 2021 40 Lieferungen von einem nicht identifizierten ukrainischen Unternehmen erhielt, die als Mobiltelefone und „andere Netzwerkgeräte“ beschrieben wurden.
Weitere Analysen zeigen, dass Hazan auch indirekt mit FoxITech s.r.o. verbunden ist, einem tschechischen Unternehmen mit Sitz in Krnov, das Michal Ikonomidis gehört und angeblich integrierte IT- und Geschäftsdienste anbietet, darunter Softwareentwicklung, Cybersicherheit, Personalbeschaffung und Backoffice-Support, für Kunden weltweit. Genauer gesagt hat FoxITech s.r.o. seinen Sitz in einem Gebäude, das einer der Firmen von Hazan gehört und in dem auch die anderen, bereits erwähnten Unternehmen von Hazan untergebracht sind. Diese Verbindung zwischen Hazan und FoxITech s.r.o. wird außerdem dadurch belegt, dass Hazan und Ikonomidis in den sozialen Medien offenbar Freunde sind und dass sowohl Hazans erstes Unternehmen als auch FoxITech s.r.o. durch denselben Bevollmächtigten notariell registriert wurden. Darüber hinaus gehören zu den RIPE-Einträge n(Réseaux IP Européens), die mit FoxITech s.r.o. verknüpft sind, E-Mail-Adressen, die mit Hazans Unternehmen Shilo s.r.o. im Zusammenhang stehen. Laut Investigace.cz, wurde eine an FoxITech s.r.o. gesendete E-Mail von einer Adresse beantwortet, die zu einem der Unternehmen von Hazan, Bender ONE s.r.o., gehört.
Obwohl die genaue Art und der Zweck der Verbindung zwischen FoxITech s.r.o. und den Predator-Operationen unklar bleiben, hat die Insikt Group beobachtet, dass Tier-4-Server regelmäßig mit der Tier-5-Infrastruktur kommunizieren, die mit FoxITech s.r.o. verbunden ist. Dies stellt eine Verbindung zwischen der mehrstufigen Infrastruktur von Predator und der tschechischen Einheit her und markiert die erste technische Verbindung zwischen der Predator-Infrastruktur und den mit dem Intellexa-Konsortium verbundenen Unternehmen.
Bemerkenswerterweise berichtete Investigace.cz zuvor über Cytrox in der Tschechischen Republik und deckte dabei auf, dass der eingetragene Direktor des Unternehmens eine Rentnerin aus einem Dorf in der Nähe von Ostrava war, die nichts von Intellexa wusste. Sie kannte Hazan, einen Bekannten der Familie, der in der Nähe wohnte. Auch der Ehemann ihrer Tochter, Amos Uzan, ist ein Israeli, der von 2003 bis 2009 in Sicherheits- und Kommunikationsrollen der Regierung tätig war, während Ehud Olmert Premierminister war. Olmert hatte zuvor bekannt gegeben, dass er zwischen 2006 und 2009 als bezahlter Berater für Intellexa tätig war.
Ausblick
Die Insikt Group hat Beweise dafür gefunden, dass Predator trotz großer Medienaufmerksamkeit und Sanktionen gegen Intellexa und verwandte Unternehmen weiterhin eingesetzt wird, auch in Mosambik. Obwohl in letzter Zeit Aktivitäten beobachtet wurden, deutet die im Vergleich zu früheren Berichten geringere Zahl der verdächtigen Betreiber darauf hin, dass die Bekanntheit in der Öffentlichkeit, Sanktionen und damit verbundene Maßnahmen Intellexa wahrscheinlich einiges gekostet haben. Zudem haben die Betreiber von Predator-Drohnen in der Vergangenheit einen einheitlichen Modus Operandi beibehalten, aber die neuesten Erkenntnisse zeigen, dass sie neue Taktiken anwenden, um der Entdeckung zu entgehen. Sanktionen und andere Maßnahmen werden wahrscheinlich die Bemühungen vorantreiben, die Komplexität der Unternehmensstrukturen zu erhöhen, wodurch die Abläufe schwerer nachverfolgt und gestört werden können. Die anhaltende Verbreitung von Predator- und ähnlichen Spyware-Produkten sowie die Verfügbarkeit von Hack-for-Hire-Diensten, die über legitime Strafverfolgungs- und Terrorismusbekämpfungszwecke hinausgehen, stellen ein erhebliches Risiko für ein breites Spektrum von Organisationen und Einzelpersonen dar.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Anhang A – Indikatoren für eine Gefährdung
Domänen: |
Anhang B: Domain-Resolutionen
| Domain | IP-Adresse | ASN | Zum ersten Mal gesehen | Zuletzt gesehen |
| asistentcomercialonline[.]com | 169[.]255[.]58[.]14 | AS329184 | 15.08.2024 | 2025-04-19 |
| barbequebros[.]com | 46[.]30[.]188[.]161 | AS199959 | 2024-11-08 | 2025-04-10 |
| boundbreeze[.]com | 188[.]166[.]0[.]154 | AS14061 | 2024-09-20 | 2025-04-21 |
| branchbreeze[.]com | 172[.]233[.]116[.]151 | AS63949 | 2024-11-21 | 2025-03-29 |
| c3p0solutions[.]com | 185[.]167[.]60[.]33 | AS46475 | 2024-08-30 | 2025-04-18 |
| caddylane[.]com | 169[.]255[.]58[.]18 | AS329184 | 2024-04-04 | 2025-04-02 |
| canylane[.]com | 169[.]239[.]128[.]42 | AS61138 | 2025-01-09 | 2025-04-11 |
| clockpatcher[.]com | 85[.]17[.]9[.]18 | AS60781 | 2024-09-16 | 2025-04-16 |
| colabfile[.]com | 141[.]164[.]37[.]66 | AS20473 | 2024-07-19 | 2025-04-23 |
| craftilly[.]com | 128[.]199[.]39[.]196 | AS14061 | 2025-03-05 | 2025-04-16 |
| dollgoodies[.]com | 162[.]19[.]214[.]208 | AS16276 | 2024-03-13 | 2025-03-08 |
| drivemountain[.]com | 169[.]239[.]128[.]22 | AS61138 | 2024-09-04 | 2025-04-08 |
| eclipsemonitor[.]com | 193[.]243[.]147[.]42 | AS16276 | 2024-07-18 | 2025-04-22 |
| flickerxxx[.]com | 169[.]239[.]129[.]57 | AS61138 | 2024-06-12 | 2025-04-22 |
| gamestuts[.]com | 45[.]86[.]163[.]182 | AS44066 | 2024-09-03 | 2025-04-18 |
| gettravelright[.]com | 46[.]30[.]189[.]26 | AS44066 | 2024-09-03 | 2025-04-08 |
| gilfonts[.]com | 38[.]54[.]2[.]223 | AS138915 | 2024-06-27 | 2025-04-18 |
| gobbledgums[.]com | 169[.]239[.]128[.]138 | AS61138 | 13.11.2024 | 2025-04-18 |
| humansprinter[.]com | 158[.]247[.]222[.]189 | AS20473 | 2024-07-18 | 2025-04-22 |
| infoshoutout[.]com | 158[.]247[.]205[.]35 | AS20473 | 2024-07-19 | 2025-04-22 |
| keep-badinigroups[.]com | 5[.]253[.]43[.]92 | AS44477 | 2024-07-01 | 2025-04-22 |
| lawrdo[.]com | 38[.]54[.]2[.]119 | AS138915 | 2024-06-27 | 2025-04-12 |
| longtester[.]com | 193[.]168[.]143[.]206 | AS39622 | 2024-09-16 | 2025-04-22 |
| mappins[.]io | 146[.]70[.]81[.]33 | AS9009 | 2024-04-02 | 2025-02-20 |
| mdundobeats[.]com | 169[.]239[.]129[.]77 | AS61138 | 2024-06-12 | 2025-04-22 |
| mountinnovate[.]com | 79[.]110[.]52[.]192 | AS9009 | 2024-09-27 | 2025-04-23 |
| mundoautopro[.]com | 169[.]239[.]128[.]48 | AS61138 | 2025-02-07 | 2025-04-1 |
| myprivatedrive[.]net | 46[.]30[.]188[.]19 | AS199959 | 2024-07-11 | 2025-05-02 |
| myread[.]io | 185[.]158[.]248[.]146 | AS9009 | 2024-09-24 | 2025-04-22 |
| mystudyup[.]com | 185[.]158[.]248[.]139 | AS9009 | 14.03.2024 | 2025-03-13 |
| nightskyco[.]com | 193[.]29[.]59[.]176 | AS48314 | 2024-09-02 | 2025-04-17 |
| noticiafamosos[.]com | 169[.]239[.]128[.]174 | AS61138 | 2024-06-12 | 2025-04-19 |
| noticiafresca[.]net | 169[.]239[.]128[.]46 | AS61138 | 23.01.2025 | 2025-03-29 |
| onelifestyle24[.]com | 169[.]239[.]128[.]174 | AS61138 | 2024-03-29 | 2025-03-28 |
| openstreetpro[.]com | 45[.]86[.]231[.]222 | AS62005 | 18.09.2024 | 2025-04-10 |
| pedalmastery[.]com | 89[.]150[.]57[.]192 | AS59711 | 2024-07-10 | 2025-04-23 |
| pinnedplace[.]com | 158[.]247[.]254[.]22 | AS20473 | 2024-07-19 | 2025-04-23 |
| remixspot[.]com | 154[.]205[.]146[.]159 | AS138915 | 2024-09-02 | 2025-04-09 |
| roadsidefoodie[.]com | 169[.]239[.]129[.]100 | AS61138 | 14.08.2024 | 2025-04-11 |
| secneed[.]com | 79[.]141[.]164[.]56 | AS59711 | 2024-07-26 | 2025-04-23 |
| secsafty[.]com | 45[.]143[.]166[.]125 | AS62005 | 2024-07-26 | 2025-04-23 |
| shopstodrop[.]com | 185[.]243[.]114[.]170 | AS48314 | 2024-01-18 | 2025-01-16 |
| speedbrawse[.]com | 146[.]70[.]88[.]93 | AS9009 | 2024-07-18 | 2025-04-23 |
| stableconnect[.]net | 51[.]195[.]49[.]222 | AS16276 | 2024-07-05 | 2025-03-28 |
| starryedge[.]com | 169[.]239[.]128[.]160 | AS61138 | 2024-09-04 | 2025-04-21 |
| statuepops[.]com | 89[.]150[.]57[.]234 | AS59711 | 2025-02-11 | 2025-03-30 |
| steepmatch[.]com | 193[.]29[.]56[.]52 | AS48314 | 2025-01-28 | 2025-05-01 |
| streamable-vid[.]com | 195[.]54[.]160[.]224 | AS62005 | 2024-09-20 | 2025-04-13 |
| strictplace[.]com | 5[.]183[.]95[.]179 | AS44066 | 2024-09-13 | 2025-03-2 |
| svcsync[.]com | 169[.]239[.]129[.]63 | AS61138 | 2024-07-10 | 2025-04-23 |
| themastersphere[.]com | 38[.]54[.]2[.]238 | AS138915 | 2024-09-03 | 2025-04-23 |
| traillites[.]com | 138[.]199[.]153[.]155 | AS24940 | 2025-02-01 | 2025-04-21 |
| trigship[.]com | 185[.]236[.]202[.]161 | AS9009 | 2024-01-17 | 2025-01-15 |
| unibilateral[.]com | 169[.]239[.]128[.]182 | AS61138 | 13.11.2024 | 20.04.2025 |
| updatepoints[.]com | 46[.]246[.]96[.]198 | AS42708 | 2024-07-10 | 2025-04-23 |
| Stern [.] io | 45[.]86[.]231[.]100 | AS62005 | 31.01.2024 | 2025-01-16 |
| zipzone[.]io | 45[.]155[.]250[.]228 | AS42708 | 2024-06-27 | 2025-04-04 |
Anhang C: MITRE ATT&CK-Techniken
| Taktik: Technik | ATT&CK-Code |
| Ressourcenentwicklung: Infrastruktur erwerben: Domänen | T1583.001 |
| Ressourcenentwicklung: Infrastruktur erwerben: Virtual Private Server | T1583.003 |
| Ressourcenentwicklung: Infrastruktur erwerben: Server | T1583.004 |
| Erstzugriff: Spearphishing-Link | T1566.002 |
| Ausführung: Ausnutzung für die Ausführung von Clients | T1203 |
Verwandt