Verfolgung der DevilsTongue-Spyware von Candiru in mehreren Ländern

Hinweis: Der Stichtag für die Analyse dieses Berichts war der 26. Juni 2025

Executive Summary

Die Insikt Group hat eine neue Infrastruktur identifiziert, die mit mehreren Clustern verbunden ist, die mit dem Spyware-Anbieter Candiru in Verbindung stehen. Dazu gehören sowohl opferorientierte Komponenten, die wahrscheinlich für die Bereitstellung und Kontrolle der DevilsTongue-Spyware von Candiru verwendet werden, als auch die Infrastruktur der Betreiber auf höherer Ebene. DevilsTongue ist eine ausgeklügelte, modulare Windows-Malware. Die Cluster unterscheiden sich in Design und Verwaltung, wobei einige direkt Systeme mit Opferkontakt verwalten, während andere Vermittler oder das Tor-Netzwerk verwenden. Es wurden acht verschiedene Cluster identifiziert, von denen fünf wahrscheinlich noch aktiv sind, darunter solche, die mit Ungarn und Saudi-Arabien in Verbindung stehen. Ein Cluster, der mit Indonesien in Verbindung steht, war bis November 2024 aktiv, und zwei mit Aserbaidschan verbundene Cluster haben einen unsicheren Status, da es an identifizierter Infrastruktur für Opfer mangelt. Die Insikt Group identifizierte auch ein Unternehmen, das im Verdacht steht, Teil des Unternehmensnetzwerks von Candiru zu sein

Der Einsatz von Söldner-Spyware wie DevilsTongue im In- und Ausland außerhalb von Schwerverbrechen oder Terrorismusbekämpfung stellt ein ernsthaftes Datenschutz-, Rechts- und Sicherheitsrisiko für die Zielpersonen, ihre Organisationen und sogar die Betreiber dar. Aufgrund der hohen Kosten pro Einsatz (basierend auf den Bewertungen von Forschern über durchgesickerte Verkaufsinformationen) sind Personen mit hohem nachrichtendienstlichen Wert, wie Politiker, Wirtschaftsführer und Personen in sensiblen Funktionen, oft besonders gefährdet. Trotz regulatorischer und rechtlicher Bemühungen weltweit, einschließlich der Aufnahme von Candiru in die Entity List des US-Handelsministeriums, der EU-Resolution zur Eindämmung des Spyware-Missbrauchs und der von Großbritannien und Frankreich angeführten Pall Mall-Initiative zur Definition und Regulierung der legitimen Nutzung, hat sich Candiru als widerstandsfähig erwiesen und sich gewehrt, indem es beispielsweise versuchte, von der Entity List gestrichen zu werden. und stellt nach wie vor eine erhebliche Bedrohung dar.

Kurzfristig sollten Verteidiger Best Practices für die Sicherheit implementieren, einschließlich regelmäßiger Software-Updates, der Suche nach bekannten Indikatoren, Sicherheitsbriefings vor der Reise und der strikten Trennung von persönlichen und Unternehmensgeräten. Diese Maßnahmen sollten durch fortlaufende Schulungen zum Sicherheitsbewusstsein der Mitarbeiter unterstützt werden, um das Verständnis für Infektionsvektoren und Malware-Fähigkeiten zu verbessern und eine Kultur der minimalen Datenoffenlegung zu fördern. Langfristig sollten Unternehmen in gründliche Risikobewertungen investieren, um differenziertere und anpassungsfähigere Sicherheitsrichtlinien zu entwickeln.

Da der Markt für Söldner-Spyware mit neuen Anbietern, Produkten und immer mehr Ländern, die nach fortschrittlichen Cyber-Fähigkeiten suchen, wächst, erstreckt sich das Risiko, ins Visier genommen zu werden, nun über die Zivilgesellschaft hinaus auf alle, die für Akteure mit Zugang zu solchen Tools oder deren Äquivalenten von Interesse sind. Gleichzeitig treiben anhaltende Rentabilität, zunehmender Wettbewerb und stärkere IT-Abwehr Innovationen voran, wie angebliche werbebasierte Infektionen, direkte Angriffe auf Messaging-Server und erhöhte Persistenz belegen (1, 2, 3). Diese Trends führen zu heimlicheren Infektionsketten, gezielten Cloud-Backups, einem professionalisierten Spyware-Ökosystem und einem breiteren Tool-Portfolio. Eine wirksame Eindämmung erfordert daher eine kontinuierliche Überwachung des Ökosystems, eine gründliche Risikobewertung und stärkere regulatorische Maßnahmen der politischen Entscheidungsträger.

Wichtige Erkenntnisse

Hintergrund

Candiru, das Unternehmen

Candiru Ltd., jetzt firmierend als Saito Tech Ltd., ist ein israelisches Unternehmen, das 2014 von Eran Shorer und Yaakov Weizmann gegründet wurde. Der ursprüngliche Name des Unternehmens, Candiru, stammt von einem berüchtigten parasitären Fisch, der für seine Tarnung und Invasivität bekannt ist, eine Metapher für die Spyware-Fähigkeiten des Unternehmens. Isaac Zack, ein früher Investor der NSO Group, soll als Vorsitzender von Candiru fungieren. Berichten zufolge hat sich das Unternehmen die Finanzierung von der Founders Group gesichert, einem Angel-Syndikat, das von Omri Lavie und Shalev Hulio, den Mitbegründern der NSO Group, mitbegründet wurde. Aktivitäten, die mit dem Unternehmen in Verbindung stehen, werden auch unter dem Alias SOURGUM von Microsoft verfolgt . In diesem Bericht verwendet die Insikt Group den Namen Candiru, da dies der bekannteste Name für das Unternehmen ist.

Im Laufe der Zeit hat Candiru häufig seine Büros verlegt und seine Unternehmensregistrierung umstrukturiert, um das Betriebsgeheimnis zu wahren (siehe Abbildung 1).

Abbildung 1: Zeitleiste der Unternehmensregistrierungen von Candiru (Quelle: Recorded Future, abgeleitet von Bürgerlabor)

Aus den Gerichtsakten einer Klage eines ehemaligen leitenden Angestellten geht hervor, dass Candiru von 12 Mitarbeitern im Jahr 2015 auf 70 im Jahr 2018 gewachsen ist. Bereits 2016 begann das Unternehmen, Verträge mit Regierungskunden in Europa, dem Nahen Osten, Asien und Lateinamerika abzuschließen. Im selben Jahr erwirtschaftete das Unternehmen Berichten zufolge einen Umsatz von 10 Millionen US-Dollar, der bis 2018 auf 20 bis 30 Millionen US-Dollar anstieg, mit zusätzlichen 367 Millionen US-Dollar an ausstehenden Geschäften mit 60 Regierungskunden. Die Verhandlungen wurden oft über lokale Vermittler geführt.

Es wird angenommen, dass Candiru im Jahr 2017 mit der Entwicklung von Spyware für mobile Geräte begonnen hat, eine Entwicklung, die später von der israelischen Zeitung Haaretz auf der Grundlage durchgesickerter interner Dokumente bestätigt wurde. Im selben Jahr wurde Candiru als DF Associates Ltd. (ד. אפ אסוסיאייטס בעיימ).

Im Jahr 2018 wurde das Unternehmen in Grindavik Solutions Ltd. (גרינדוויק פתרונות בעיימ) umbenannt .

Im Jahr 2019 wurde Candiru mit rund 90 Millionen US-Dollar bewertet, nachdem der Risikokapitalgeber Eli Wartman eine 10-prozentige Beteiligung an Universal Motors Israel (UMI) verkauft hatte. Berichte deuten auch auf Investitionen des katarischen Staatsfonds hin. Im selben Jahr berichtete Vice News, dass Kaspersky Lab die Spionagesoftware Candiru identifiziert hatte, die vom usbekischen Staatssicherheitsdienst (SSS) verwendet wird. Berichten zufolge hatte die SSS die Antivirensoftware Kaspersky verwendet, um die Tarnung der Spyware zu testen, und eine offizielle Regierungsdomäne konfiguriert ("itt[.]uz") für seine C2-Kommunikation. Dieses Leck führte zur Identifizierung anderer Candiru-Kunden, darunter Saudi-Arabien und die Vereinigten Arabischen Emirate (VAE). Im Jahr 2019 benannte sich das Unternehmen ebenfalls in Taveta Ltd. (טאבטה בעיימ) um.

Im Jahr 2020 gründete das Unternehmen eine Tochtergesellschaft namens Sokoto. Im selben Jahr gehörten zum Vorstand von Candiru die Gründer Shorer und Weizmann, der Vorsitzende Isaac Zack und ein Vertreter von Universal Motors Israel. Candiru änderte auch seinen Namen in Saito Tech Ltd. (סאייטו טק בעיימ).

Im Jahr 2021 wurden in den Unternehmensanmeldungen Universal Motors Israel, ESOP Management und Trust Services Ltd. aufgeführt. (die Mitarbeiterbeteiligungsprogramme verwaltet) und Optas Industry Ltd. (ein Bevollmächtigter des katarischen Fonds) als Minderheitsaktionäre.

Im April 2021 deckte das Cybersicherheitsunternehmen ESET eine Spionageoperation mit Candiru-Spyware auf, die auf die britische Nachrichtenagentur Middle East Eye, Nachrichtenagenturen, die mit den Huthis und der Hisbollah in Verbindung stehen, und ein mutmaßlich regimekritisches Medienunternehmen in Saudi-Arabien abzielte. Zu den weiteren Opfern gehörten die Websites einer iranischen Botschaft, italienische und südafrikanische Luft- und Raumfahrtunternehmen sowie Websites der syrischen und jemenitischen Regierung.

Im Juli 2021 enthüllten Citizen Lab und Microsoft, dass die Spyware von Candiru von mehreren Regierungskunden eingesetzt wurde und weltweit mindestens 100 Opfer gefährdete. Zu den Zielen gehörten Politiker, Menschenrechtsverteidiger, Journalisten, Akademiker, Botschaftsmitarbeiter und politische Dissidenten. Microsoft berichtete, dass sich etwa die Hälfte der beobachteten Opfer in Palästina befanden. Die übrigen Opfer befanden sich in Israel, dem Iran, dem Libanon, dem Jemen, Spanien (Katalonien), dem Vereinigten Königreich, der Türkiye, Armenien und Singapur. Die Infrastruktur der Spyware wurde in mehrere Länder zurückverfolgt, darunter Saudi-Arabien, Israel, die Vereinigten Arabischen Emirate, Ungarn und Indonesien. Die von Candiru verwendeten Domains geben auch einen Hinweis auf die Ziele. Domains parodierten internationale Medien, Interessenvertretungen (darunter Black Lives Matter, Amnesty International und Refugees International), Veranstaltungen zur Geschlechterforschung (einschließlich einer Konferenz zu diesem Thema) und internationale Organisationen (einschließlich des Büros des Sondergesandten des Generalsekretärs für den Jemen, der Vereinten Nationen und der WHO).

Im November 2021 nahm das US-Handelsministerium sowohl Candiru als auch die NSO Group in seine Entity List auf und begründete dies mit ihrer Rolle bei der Lieferung von Spyware an ausländische Regierungen, die an böswilligen Aktivitäten beteiligt sind.

Im April 2022 berichtete Citizen Lab, dass Mitglieder der katalanischen Unabhängigkeitsbewegung im Rahmen einer von der spanischen Regierung genehmigten inländischen Überwachungsoperation mit der Spionagesoftware Candiru angegriffen wurden (siehe Abbildung 2). Berichten zufolge umfasste die Kampagne die Überwachung von gewählten Amtsträgern und politischen Aktivisten. Candiru wurde speziell verwendet, um vier Katalanen ins Visier zu nehmen, die in den Open-Source- und digitalen Wahlgemeinschaften arbeiten. Einem katalanischen Technologen, Elies Campo, wurde eine E-Mail mit einem Link zugeschickt , der, wenn er angeklickt worden wäre, zu einer Candiru-Infektion geführt hätte, während er in den USA lebte und eine US-SIM-Karte in seinem Gerät hatte. Darüber hinaus berichtete Citizen Lab über mutmaßliche Angriffe auf saudi-arabische Social-Media-Nutzer.

Figur 2: Zeitleiste des Candiru-Targetings (Quelle: Recorded Future)

Verdacht auf neues Unternehmen nach der Übernahme

Im April 2025 berichtete das Technologie-Nachrichtenportal CTech, dass Candiru einige Monate zuvor von Integrity Partners in einem 30-Millionen-Dollar-Deal übernommen worden war. Bemerkenswert ist, dass Integrity Partners, eine amerikanische Investmentfirma, zu deren Partnern Elad Yoran (Bruder von Amit Yoran, ehemaliger CEO von Tenable) gehört, zuvor auch ein Angebot für die Übernahme des Pegasus-Spyware-Entwicklers NSO Group abgegeben hatte.

Aus der Berichterstattung geht hervor , dass Integrity Partners die Vermögenswerte von Candiru erworben und sie zusammen mit allen Mitarbeitern des Unternehmens an ein neu gegründetes Unternehmen übertragen hat, das derzeit nicht den Sanktionen der US-Regierung unterliegt. Zum Zeitpunkt des Berichts war die erste Phase der Vereinbarung bereits abgeschlossen, die den Übergang der Mitarbeiter zu dem neuen Unternehmen für 10 Millionen US-Dollar beinhaltete. Die zweite Phase, die die Übertragung der Exportlizenzen von Candiru beinhaltet, wird abgeschlossen, sobald die erforderlichen Genehmigungen vorliegen.

Bemerkenswert ist, dass WHOIS-Einträge, die mit Nerfwall, einem Alias, verbunden sind , der mit Candiru verbunden ist, die Insikt Group dazu veranlassten, die Domain integrity-labs[.]GmbH registriert am 31. März 2025. In diesem Zusammenhang identifizierte die Insikt Group auch ein privates israelisches Unternehmen namens Integrity Labs Ltd (אינטגריטי לאבס בע~מ), das am 18. Dezember 2024 unter der Firmennummer 517081089 gegründet wurde und seinen Sitz in Herzliya, Israel, hat. Das Unternehmen wird von Naftali Yoran geleitet, basierend auf den Aufzeichnungen der Unternehmensberichte, die von Recorded Future erhalten wurden. Open-Source-Berichte deuten darauf hin , dass Elad Yoran auch als Naftali Yoran bekannt ist.

Lizenzmodell

Ein durchgesickerter Candiru-Projektvorschlag, der von TheMarker, einer israelischen Nachrichtenagentur, veröffentlicht wurde , deutet darauf hin, dass Candiru ähnlich wie andere Spyware-Anbieter wie Intellexa seine Spyware nach der Anzahl der gleichzeitigen Infektionen lizenziert, was sich auf die Anzahl der Ziele bezieht, die zu einem bestimmten Zeitpunkt aktiv überwacht werden können. Ein Vorschlag in Höhe von 16 Millionen Euro erlaubt beispielsweise unbegrenzte Infektionsversuche, beschränkt aber die Überwachung auf zehn Geräte gleichzeitig. Kunden können diese Kapazität erweitern: Für zusätzliche 1,5 Millionen Euro können sie fünfzehn weitere Geräte überwachen und die Genehmigung erhalten, ein weiteres Land ins Visier zu nehmen. Für 5,5 Mio. EUR können sie 25 weitere Geräte überwachen und in fünf weiteren Ländern tätig sein (siehe Abbildung 3). Ein weiteres Upgrade im Wert von 1,5 Millionen Euro bietet eine Remote-Shell-Funktion, die vollen Befehlszeilenzugriff auf infizierte Geräte gewährt, was aufgrund seiner potenziellen Verwendung zum Hochladen von Dateien oder zum Einschleusen belastender Inhalte besondere Bedenken aufwirft.

Figur 3: Preisoptionen für Candiru (Quelle: Bürgerlabor)

In dem durchgesickerten Vorschlag heißt es weiter, dass das Produkt ausschließlich in "vereinbarten Gebieten" betrieben werden soll, und listet ausdrücklich die USA, Russland, China, Israel und den Iran als eingeschränkte Länder auf. Trotz dieser Einschränkungen hat Microsoft Candiru-Opfer im Iran und in Israel identifiziert , was darauf hindeutet, dass die Spyware in bestimmten Fällen außerhalb der offiziell sanktionierten Regionen eingesetzt werden kann. Um dies zu bestätigen, umfasst die im Bericht von Citizen Lab aus dem Jahr 2021 analysierte Targeting-Infrastruktur Domains, die sich als russischer Postdienst ausgeben. In diesem Bericht wird auch detailliert beschrieben, wie ein katalanischer Technologe angegriffen wurde, während er in den USA lebte, wie oben erwähnt.

Teufelszunge

DevilsTongue, so der Name, den Microsoft der von Candiru entwickelten Windows-basierten Spyware gab, ist eine komplexe, modulare, Multithread-Malware, die in C und C++ geschrieben wurde und eine breite Palette von Funktionen bietet. Das meiste, was über DevilsTongue bekannt ist, stammt aus der Analyse von Microsoft und einem durchgesickerten Candiru-Projektvorschlag, der von TheMarker veröffentlicht wurde. Angesichts der umfangreichen Liste verdächtiger Komponenten und Funktionen und des Alters beider Berichte geht die Insikt Group jedoch davon aus, dass sich die Fähigkeiten der Malware seitdem wahrscheinlich weiterentwickelt haben.

Die durchgesickerten Dokumente zeigen, dass die Spyware von Candiru für den tiefen Zugriff auf die Geräte der Opfer konzipiert wurde und die Extraktion von Dateien, die Sammlung von Browserdaten und sogar den Diebstahl verschlüsselter Nachrichten aus der Signal Messenger-Desktop-App ermöglicht. Abbildung 4 zeigt einen Auszug aus dem durchgesickerten Candru-Projektvorschlag, in dem die Windows-spezifischen Fähigkeiten der Spyware beschrieben werden.

Figur 4: Die Fähigkeiten von Candiru auf Windows-Geräten (Quelle: Bürgerlabor)

Laut der detaillierten Analyse von Microsoft handelt es sich bei DevilsTongue um eine heimliche Malware, die sowohl im Benutzer- als auch im Kernel-Modus verfügbar ist. Es behält die Persistenz über COM-Hijacking bei, indem es den DLL-Pfad eines legitimen COM-Klassenregistrierungsschlüssels mit einer DLL der ersten Stufe überschreibt, die in C:\Windows\system32\IME\ abgelegt wurde, und es speichert verschlüsselte Nutzlasten der zweiten Stufe im Konfigurationsverzeichnis. Ein signierter Treiber eines Drittanbieters (physmem.sys) Ermöglicht den Speicherzugriff auf Kernel-Ebene und das Proxying von API-Aufrufen, um eine Erkennung zu vermeiden. Um die Systemstabilität zu erhalten, fügt DevilsTongue die ursprüngliche COM-DLL während der Entführung erneut ein und verschleiert diese Aktion durch Shellcode-Manipulation des LoadLibraryExW-Rückgabewerts. Alle zusätzlichen Payloads werden entschlüsselt und nur im Speicher ausgeführt, so dass die Malware Anmeldeinformationen von LSASS und Browsern stehlen, auf Signal-Nachrichten zugreifen und Browser-Cookies verwenden kann, um sich auf Plattformen wie Facebook, Gmail und VK als Opfer auszugeben. Die Verwendung von bereinigten Metadaten, Verschlüsselung und eindeutigen Hashes für jede Datei durch die Malware erschwert die Erkennung und Analyse zusätzlich.

Überlappung mit CHAINSHOT

CHAINSHOT ist ein Exploit-Kit, das zuvor mit Candiru in Verbindung gebracht wurde. Es wurde bei der Nutzung durch Bedrohungsakteursgruppen wie Stealth Falcon und SandCat beobachtet, von denen angenommen wird, dass letztere mit der usbekischen Regierung in Verbindung stehen. SandCat erregte 2019 große Aufmerksamkeit aufgrund einer Reihe von betrieblichen Sicherheitsfehlern , die nicht nur mehrere Zero-Day-Schwachstellen aufdeckten, sondern auch eine direkte Zuordnung zum usbekischen Staatssicherheitsdienst (SSS) ermöglichten. Bemerkenswert ist, dass ein weiterer Bedrohungsakteur, der als PuzzleMaker bekannt ist, ebenfalls im Zusammenhang mit CHAINSHOT erwähnt wurde, da eine seltene, aber wahrscheinlich nicht ausschließlich verwendete Technik verwendet wird. Obwohl die Verbindung zwischen CHAINSHOT und Candiru zunächst nur umständlich war, stellten die Forscher des Citizen Lab später eine klarere Verbindung her. Sie identifizierten einen gemeinsamen Fingerabdruck, einschließlich einer übereinstimmenden IP-Adresse, der die endgültige Spyware-Bereitstellungs-URL von CHAINSHOT mit der Infrastruktur verknüpfte, die in einem Bericht von Palo Alto Networks aus dem Jahr 2018 dokumentiert war , wodurch die Verbindung zwischen CHAINSHOT und Candiru verstärkt wurde.

Vektoren für den Erstzugriff

Laut den oben besprochenen durchgesickerten Materialien kann die Spyware von Candiru über mehrere Vektoren eingesetzt werden, darunter bösartige Links, bewaffnete Dateien, Man-in-the-Middle-Angriffe (MitM) und physischer Zugriff. Nach derzeitigem Kenntnisstand der Insikt Group hat die öffentliche Berichterstattung die Verwendung der ersten beiden Vektoren jedoch nur in dokumentierten Fällen von Candiru-bedingten Infektionen bestätigt, obwohl es sehr wahrscheinlich ist, dass auch die anderen Vektoren eingesetzt wurden. Wenn es um bösartige Links geht, hat Candiru sowohl von Akteuren kontrollierte Links wie Spearphishing-E-Mails als auch strategische Website-Kompromittierungen, die als Watering-Hole-Angriffe bekannt sind, verwendet, um seine Spyware zu verbreiten, wobei die Infektionen in der Regel Exploits beinhalten, die auf Webbrowser abzielen (1, 2).

So gab die Threat Analysis Group (TAG) von Google im Jahr 2021 bekannt , dass zwei Zero-Day-Schwachstellen (CVE-2021-21166 und CVE-2021-30551) von Candiru ausgenutzt wurden. Diese Exploits wurden über Einweg-Links verbreitet, die an bestimmte Ziele gesendet wurden, von denen man annahm, dass sie sich in Armenien befanden. Die Links leiteten die Empfänger zu von Angreifern kontrollierten Domains weiter, die sich als legitime Websites ausgaben, die für die Interessen der Opfer relevant sind. Google TAG entdeckte, dass CVE-2021-21166 auch WebKit betraf, was Apple dazu veranlasste, es als CVE-2021-1844 zu patchen; Es gibt jedoch keine Beweise dafür, dass es gegen Safari-Benutzer verwendet wurde.

Im April 2021 identifizierte Google TAG eine Kampagne, die sich an armenische Nutzer richtete, die bösartige Office-Dokumente erstellten, die Webinhalte über den Internet Explorer luden. Dies wurde entweder durch Einbetten eines Remote-ActiveX-Objekts mit einem Shell.Explorer.1 OLE-Objekt oder durch Starten eines Internet Explorer-Prozesses über VBA-Makros erreicht, um zu einer Webseite zu navigieren. Nach einer Fingerabdruckphase wurde den Zielen ein Zero-Day-Exploit für den Internet Explorer bereitgestellt, der später mit CVE-2021-33742 versehen wurde und im Juni 2021 von Microsoft gepatcht wurde. Die Analyse der TAG deutet darauf hin, dass die Internet Explorer-Exploits von demselben Unternehmen entwickelt und bereitgestellt wurden, das für die zuvor erwähnten Google Chrome-Exploits verantwortlich ist.

Im Juli 2022 berichtete Avast, dass CVE-2022-2294, eine Heap-Pufferüberlauf-Schwachstelle mit hohem Schweregrad in WebRTC in Google Chrome, ausgenutzt wurde, um Shellcode im Renderer-Prozess des Browsers auszuführen, der auf Benutzer im Nahen Osten abzielte. Der Exploit, der speziell für Windows entwickelt wurde, wurde wahrscheinlich mit einem Sandbox-Escape kombiniert, obwohl der Exploit der zweiten Stufe nicht wiederhergestellt werden konnte. Im Libanon kompromittierten die Angreifer eine Website, die von Mitarbeitern einer Nachrichtenagentur genutzt wurde, und enthielten Anzeichen von persistenten Cross-Site-Scripting-Angriffen (XSS), wahrscheinlich als Teil ihrer Testphase, bevor sie schließlich bösartiges JavaScript von einer von Angreifern kontrollierten Domain einschleusten. Dieser injizierte Code leitete die beabsichtigten Opfer selektiv über eine Kette von vom Angreifer kontrollierten Domänen auf den Exploit-Server um. Vor dem Bericht von Avast hatte ESET über strategische Web-Kompromittierungen im gesamten Nahen Osten berichtet , mit einem starken Fokus auf den Jemen, die Candiru mit mittlerer Sicherheit zugeschrieben wurden.

Neben den zuvor genannten Vektoren deuten Berichte aus dem Jahr 2023 darauf hin , dass Candiru auch eine Fähigkeit besaß, die als Sherlock bekannt ist. Sherlock ist eine kommerzielle Überwachungsfunktion, die vom israelischen Softwarehersteller Insanet entwickelt wurde und in der Lage ist, Geräte mit Windows, Android und iOS zu infizieren. Im Gegensatz zu herkömmlicher Spyware, die Software-Schwachstellen ausnutzt, nutzt Sherlock programmatische Werbung, um seine Nutzlast bereitzustellen. Durch die Platzierung bösartiger Anzeigen über Anzeigenbörsen kann es bestimmte Personen basierend auf demografischen Daten und Standort ansprechen, was zur verdeckten Installation von Spyware führt, wenn die Anzeige auf dem Gerät eines Benutzers angezeigt wird.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.