Le site web mondial d'Intellexa

NOTE : Ceci a été mis à jour le 20 février 2026, avec une correction mineure.

Executive Summary

Insikt Group a identifié plusieurs personnes et entités liées à Intellexa et à son vaste réseau de sociétés associées. Ces connexions couvrent des rôles techniques, opérationnels et d'entreprise, y compris le développement d'applications dorsales, la mise en place d'infrastructures et la création d'entreprises. En utilisant les données d'exportation et d'importation, Insikt Group a identifié une Entité liée au cluster tchèque précédemment signalé, qui a facilité l'expédition de produits Intellexa à des clients. Dans un cas au moins, une livraison directe a été effectuée à un utilisateur final, tandis que d'autres Entité au Kazakhstan et aux Philippines semblent avoir été impliquées dans des importations de produits, ce qui indique une expansion de l'empreinte du réseau. Deux autres entités dans le secteur de la publicité pourraient être liées au vecteur d'infection basé sur la publicité "Aladdin", précédemment associé au groupe tchèque par le biais d'une fuite sur une facture de 2022. En outre, les renseignements exclusifs de Recorded Future ont révélé l'activité continue du logiciel espion Predator dans de nombreux pays, y compris de nouvelles preuves de son déploiement en Irak.

La poursuite de l'utilisation domestique de logiciels espions mercenaires tels que Predator pose des risques importants pour la vie privée, le droit et la sécurité physique dans le monde entier. Bien que la société civile reste la cible principale dans la plupart des cas documentés publiquement, des preuves récentes montrent que les cadres dirigeants et d'autres personnes de premier plan ayant une valeur substantielle en termes de renseignements sont également de plus en plus souvent ciblés. En raison du modèle de licence coûteux du Predator, les opérateurs sont susceptibles de réserver son déploiement à des cibles stratégiques de grande valeur, ce qui fait courir un risque accru aux hommes politiques, aux chefs d'entreprise et aux personnes jouant un rôle sensible. Entre-temps, l'utilisation généralisée et probablement illégale de logiciels espions contre l'opposition politique continue d'être une question urgente qui fait l'objet d'une enquête dans plusieurs États membres de l'Union européenne (UE), dont la Pologne et la Grèce.

Insikt Group évalue plusieurs tendances clés qui façonnent l'écosystème des logiciels espions, notamment une balkanisation croissante à mesure que les entreprises se divisent selon des lignes géopolitiques, certaines entités sanctionnées cherchant à renouveler leur légitimité par des acquisitions tandis que d'autres se tournent vers des régions où la surveillance est plus faible(1, 2). Malgré cela, un réseau central de facilitateurs continue d' étayer les opérations du secteur. En outre, la concurrence croissante et le secret qui entoure les technologies d'exploitation de grande valeur augmentent les risques de corruption, de fuites d'initiés et d'attaques contre les vendeurs de logiciels espions eux-mêmes. Le ciblage s'est également étendu au-delà des figures traditionnelles de la société civile pour inclure des dirigeants d'entreprise et des personnes du secteur privé(1, 2), ce qui suggère que les cas visibles publiquement ne représentent qu'une fraction d'un écosystème mondial beaucoup plus vaste et dissimulé.

Key Findings

• Insikt Group des entreprises supplémentaires non couvertes très probablement liées au réseau d'entreprises plus large d'Intellexa, en particulier au sein du groupe tchèque mentionné précédemment. Au moins l'une de ces entités semble avoir été utilisée pour expédier des produits Intellexa à des clients, ce qui permet de mieux comprendre les structures commerciales mondiales d'Intellexa.
• Deux sociétés nouvellement identifiées semblent opérer dans le secteur de la publicité et pourraient être liées à un vecteur d'infection basé sur la publicité, connu sous le nom d'"Aladdin". Ce vecteur avait déjà été associé au pôle tchèque par le biais d'une fuite de facture datant de 2022 et indiquant des paiements pour une preuve de concept à une personne liée à ce pôle.
• L'analyse des bases de données sur les exportations et les importations a révélé des indications selon lesquelles l'une des sociétés nouvellement identifiées était utilisée pour livrer des produits Intellexa à des clients finaux, soit directement, soit par le biais d'intermédiaires. Cette recherche a également permis de découvrir deux autres Entité situées au Kazakhstan et aux Philippines.

Background

Predator est un logiciel espion mercenaire sophistiqué qui cible les appareils Android et iPhone et qui est actif depuis au moins 2019. Créé à l'origine par Cytrox et apparemment géré et distribué aujourd'hui par un réseau plus large d'entreprises liées à Intellexa, Predator est conçu pour être adaptable et furtif, laissant peu de traces sur les dispositifs compromis et compliquant les enquêtes externes sur son utilisation abusive. Une fois déployé, Predator offre un accès complet au microphone, à l'appareil photo et à toutes les données de l'appareil, y compris les contacts, les messages, les photos, les vidéos, etc. Son architecture modulaire, basée sur Python , permet aux opérateurs d'ajouter des fonctionnalités à distance sans avoir à réexploiter l'appareil.

Predator peut être diffusé par des vecteurs d'attaque "1-click" et "zero-click". Les attaques "1-click" reposent sur des messages d'ingénierie sociale contenant des liens malveillants qui nécessitent une interaction de l'utilisateur(1, 2, 3), tandis que les attaques "zero-click", décrites dans les "Predator Files", impliquent TTPs qui ne nécessitent aucune action de la part de la cible, telles que l'injection de réseau ou les méthodes basées sur la proximité. Cependant, aucun cas confirmé de Predator utilisant des exploits "zéro-clic" entièrement distants comme ceux observés avec NSO Group Pegasus, qui peuvent compromettre des appareils par le biais d'applications de messagerie sans aucune interaction de l'utilisateur (par exemple, FORCEDENTRY ou BLASTPASS), n'a été signalé.

Au cours des deux dernières années, Insikt Group a identifié des opérateurs présumés de Predator dans plus d'une douzaine de pays, notamment en Angola, en Arménie, au Botswana, en République démocratique du Congo, en Égypte, en Indonésie, au Kazakhstan, en Mongolie, au Mozambique, à Oman, aux Philippines, en Arabie saoudite et à Trinité-et-Tobago(1, 2). Des enquêtes plus approfondies ont révélé des preuves de déploiements de Predator et d'activités d'opérateurs dans un certain nombre d'autres pays, dont la Grèce, le Soudan et le Viêt Nam (voir figure 1). En Grèce notamment, l'utilisation de Predator contre des journalistes, des hommes politiques, des hommes d'affaires et d'autres personnalités, connue sous le nom de scandale du "Predatorgate", a donné lieu à de multiples enquêtes et procédures judiciaires qui sont toujours en cours.

Figure 1 : Pays où des déploiements de Predator et des activités d'opérateurs ont été constatés (sources : Recorded Future)

Bien que le Predator soit officiellement commercialisé pour la lutte contre le terrorisme et l'application de la loi, des enquêtes ont révélé qu'il était systématiquement utilisé contre des personnalités de la société civile, notamment des journalistes, des militants et des hommes politiques(1, 2, 3, 4). Les cas documentés dans les rapports précédents ne représentent probablement qu'une fraction de l'ensemble des abus, étant donné la large prolifération de logiciels espions mercenaires tels que Predator, la difficulté croissante de détection, probablement exacerbée par les récentes mises à jour du système d'exploitation de l'iPhone, et le soutien et la sensibilisation limités des victimes. Il est important de souligner le risque de ciblage transfrontalier, illustré par les affaires impliquant Predator, où un opérateur lié au Viêt Nam aurait ciblé des fonctionnaires de l'UE et des membres du Parlement européen, ainsi que d'autres logiciels espions mercenaires tels que Pegasus. Enfin, bien que les fournisseurs de logiciels espions puissent mettre en œuvre des mécanismes de contrôle différents, les déclarations du PDG de Memento Labs ont soulevé des doutes quant à leur efficacité, car l'un des clients de l'entreprise aurait continué à utiliser des produits qui étaient censés avoir été mis hors service.

Malgré l'augmentation du nombre de sites publics reporting consacrés à l'infrastructure et à l'activité de Predator TTPset l'attention croissante portée à la structure de l'entreprise Intellexa, les opérations de Predator se poursuivent, même si l'étendue de leurs activités reste incertaine. Cette persistance se poursuit même après des mesures telles que les sanctions américaines, une résolution de l'UE, une interdiction de visa aux États-Unis pour les filiales d'Intellexa et le lancement du processus Pall Mall, ainsi que l' augmentation probable des coûts d'exploitation, en particulier pour les iPhones. Cette évolution reflète probablement l'augmentation de la demande de logiciels espions, en particulier dans les pays confrontés à des restrictions à l'exportation, à l'innovation technique permanente et à des structures d'entreprise de plus en plus complexes (par exemple, des sociétés écrans et des administrateurs involontaires) conçues pour empêcher les sanctions et l'attribution de responsabilités.

Par exemple, des rapports font état d'un courtier russe offrant jusqu'à 20 millions de dollars pour des exécutions de code à distance (RCE) contre les derniers iPhones et appareils Android, et d'une startup basée aux Émirats arabes unis, Advanced Security Solutions, qui offrirait jusqu'à 20 millions de dollars pour des outils de piratage de smartphones livrés par SMS.

En fin de compte, on ne sait toujours pas si des entreprises comme Intellexa développent leurs propres exploits ou les obtiennent d'autres entreprises (et, dans ce cas, à quel prix et dans quelles conditions), ni qui d'autre collabore avec ces fournisseurs. Un rapport de 2024 indiquant que le groupe APT29 soutenu par la Russie (repéré par Insikt Group sous le nom de BlueBravo) pourrait avoir utilisé les mêmes exploits qu'Intellexa et NSO souligne pourquoi ce problème mérite l'attention et soulève un certain nombre de questions importantes.

Cartographie du réseau d'entreprises et de l'état d'activité d'Intellexa

La cartographie de la structure d'entreprise d'un fournisseur mercenaire de logiciels espions tel qu'Intellexa présente des difficultés considérables. Comme l'illustre la figure 2, ces entités opèrent généralement par le biais d'un réseau complexe de sociétés écrans et de sociétés de façade réparties dans plusieurs juridictions. Ils modifient fréquemment les structures de propriété, recourent à l'ambiguïté et utilisent diverses tactiques d'obscurcissement pour échapper à la détection. Par conséquent, l'image disponible du paysage organisationnel d'Intellexa est souvent incomplète, opaque et rapidement obsolète.

Figure 2: Localisation des entreprises liées à Intellexa (sources : Recorded Future; Amnesty International)

Le présent rapport vise à combler certaines lacunes dans les connaissances actuelles en offrant de nouveaux aperçus de la structure et des activités du réseau d'entreprises d'Intellexa. Il met en évidence les employés soupçonnés d'être affiliés à Intellexa, identifie d'autres entreprises qui ont pu servir, ou continuent de servir, d'entités de façade, dont deux pourraient être liées à des vecteurs d'attaque liés à AdInt, et fournit des détails supplémentaires sur la manière dont les entreprises associées à Intellexa semblent expédier leurs produits aux clients finaux.

Les employés d'Intellexa et les risques de fragmentation de l'entreprise

En utilisant les données exclusives de Recorded Future, Insikt Group a obtenu des informations plus approfondies sur plusieurs employés partiellement identifiés. Parmi eux, trois sont probablement basés en Grèce et un en Macédoine du Nord. Les informations disponibles suggèrent que ces personnes sont, au moins en partie, impliquées dans des activités liées à l'infrastructure, au développement, au droit et à l'assistance informatique.

• La première personne, basée en Grèce, a une expérience professionnelle dans l'administration informatique dans les secteurs de la logistique et du conseil, utilise plusieurs adresses électroniques d'entreprises liées à Intellexa et apparentées, et montre des signes d'implication dans l'infrastructure informatique par le biais de diverses plates-formes techniques.
• La deuxième personne est considérée comme faisant partie de l'équipe d'infrastructure d'Intellexa, avec une activité par le biais de comptes liés à Intellexa accédant à des services de gestion informatique à partir du même système que la première personne.
• L'adresse électronique de la troisième personne apparaît dans les dossiers de plusieurs entités liées à Intellexa, toutes représentées par un avocat grec impliqué dans de multiples contextes juridiques et commerciaux internationaux.
• Le quatrième individu, basé à Skopje, est un développeur backend qui a travaillé dans des entreprises de télécommunications régionales, dans une entreprise "en mode furtif" liée à Cytrox, puis dans une autre entreprise européenne de cybersécurité, avec des activités en ligne supplémentaires liées à des plateformes de développement et à des référentiels.

Rôle de la Grèce dans les opérations liées à Intellexa

Le 2023 Predator Files avait déjà signalé qu'Athènes était devenue une plaque tournante pour les opérations d'Intellexa. Selon l'enquête, un ancien employé de Cytrox, une filiale d'Intellexa responsable du développement du Predator, a déclaré qu'un centre de formation pour les opérateurs du Predator avait été créé à Athènes. Cette installation, initialement prévue à Skopje, aurait été supervisée par une personne qualifiée de "chypriote grecque". Sur la base d'une proposition commerciale de 2021 qui a été divulguée, une formation complète et une assistance opérationnelle et technique à distance 24 heures sur 24 avaient déjà été discutées.

Un rapport publié en novembre 2025 a révélé qu'Intellexa aurait organisé des sessions de formation secrètes dans les bureaux de l'entreprise de sécurité grecque Krikel. L'entreprise semble avoir joué un rôle dans l'acquisition ou la facilitation de l'utilisation du logiciel espion Predator en Grèce, une implication qui a finalement contribué à ce que l'on a appelé le "Predatorgate". Les bureaux grecs d'Intellexa et de Krikel ont été perquisitionnés par la division de la cybercriminalité de la police grecque dans le cadre de l'enquête en cours sur le scandale des écoutes téléphoniques. Les procédures judiciaires liées au "Predatorgate" sont toujours en cours à l'heure où nous écrivons ces lignes.

Selon un rapport d'Inside Story datant d'avril 2024, plusieurs anciens employés d'Intellexa auraient été liés à IANUS Consulting, Remote Greece et ADDAPP Technologies, qui auraient servi d'intermédiaires pour la rémunération des employés. Bien que la nature précise des relations entre ces entreprises et Intellexa reste floue, Inside Story a rapporté que la réponse d'ADDAPP Technologies à une demande de commentaires provenait du même fournisseur de services de domiciliation fiscale et d'adresse commerciale que celui utilisé par les entités affiliées à Intellexa, y compris Apollo Technologies et Hermes Technologies.

Risques de fragmentation des entreprises dans l'écosystème des logiciels espions mercenaires

La fragmentation des entreprises au sein de l'écosystème des logiciels espions mercenaires, et plus largement du secteur de la surveillance, ne se contente pas de compliquer l'analyse structurelle ; elle introduit également des risques opérationnels et de sécurité distincts qui peuvent en fin de compte affecter les clients finaux. Ces risques peuvent être regroupés en trois catégories principales :

• Vulnérabilité accrue de la sécurité : les structures des entreprises étant de plus en plus fragmentées et de moins en moins rationalisées, le durcissement du réseau devient nettement plus difficile. Dans le cas d'Intellexa, cette complexité accroît probablement la vulnérabilité aux cyberattaques et aux failles de sécurité. Cela est d'autant plus préoccupant que les vendeurs mercenaires de logiciels espions semblent, du moins en partie, conserver une visibilité sur les opérations de leurs clients, un risque précédemment illustré par le groupe NSO.
• Contraintes opérationnelles dues aux sanctions et aux opérations secrètes : Les sanctions et la nécessité de mener des opérations secrètes ou semi-clandestines font qu'il est plus difficile pour ces entités d'obtenir certaines technologies ou un soutien technique. Cette limitation peut les contraindre à recourir à des appareils personnels, à des fournisseurs tiers ou à des canaux informels, ce qui accroît l'exposition aux risques de sécurité.
• Risques d'exposition liés aux employés : Comme l'illustrent les personnes mentionnées plus haut, les employés liés à des sociétés comme Intellexa peuvent, par le biais d'engagements secondaires ou de rôles contractuels, avoir accès à des réseaux externes, y compris à des environnements potentiellement sensibles ou de partage de renseignements. Un tel chevauchement pourrait involontairement créer des voies pour l'exposition de données ou l'accès non autorisé à des renseignements.

Révéler d'autres éléments de la "grappe tchèque"

Grâce à des recherches supplémentaires sur les entreprises, Insikt Group a identifié une nouvelle série d'entreprises très probablement liées à Intellexa, en retraçant leurs connexions par le biais d'un groupe d'entreprises de la République tchèque associé à Dvir Horef Hazan (voir figure 3).

Figure 3: Connexions entre l'infrastructure Predator et FoxITech s.r.o. (sources : Investigace.cz ; Recorded Future)

La figure 4 illustre à la fois l'Entité nouvellement identifiée et les entreprises précédemment signalées qui sont liées à cette grappe tchèque. Ces entreprises semblent remplir des rôles opérationnels distincts au sein du réseau Intellexa, qui sont examinés dans les sections suivantes. Notamment, les domaines associés aux quatre nouvelles entités dont il est question ci-dessous sont devenus actifs en succession rapprochée entre le 8 et le 26 mars 2024.

Figure 4: Nouvelle cartographie du site web d'Intellexa lié au cluster tchèque (sources : Recorded Future)

PULSE FZCO - Conseil en cybersécurité

La société PULSE FZCO est associée au domaine pulse-fzco[.]com, qui était hébergé sur l'adresse IP 173[.]236[.]243[.]198 (DREAMHOST-AS, US [AS26347]) depuis au moins le 10 mars 2024 jusqu'à la date de rédaction du présent document. L'adresse IP a également hébergé d'autres domaines associés à Intellexa, tels que shilo[.]eu. et thalestris[.]ch, ainsi que d'autres domaines liés à des entreprises nouvellement identifiées dans le présent rapport. PULSE FZCO est enregistrée auprès de l'Autorité de la zone franche internationale de Dubaï (DIFZA) dans les Émirats arabes unis (EAU) et, selon son site web, prétend "vous aider à protéger vos données contre les cybermenaces, la violation des données et l'accès non autorisé" (voir figure 5).

Figure 5: Site web lié à PULSE FZCO (sources : URLScan)

D'après les données d'exportation analysées par Insikt Group, PULSE FZCO fonctionne probablement comme une société écran utilisée pour faciliter les expéditions de produits, soit directement aux clients d'Intellexa, soit par l'intermédiaire de partenaires importateurs locaux, comme nous le verrons plus loin dans la section intitulée " Recherche de clients d'Intellexa précédemment identifiés par le biais des données d'exportation".

Il est intéressant de noter que le site web de Pulse FZCO mentionne une société nommée SefuTech comme l'un de ses partenaires.

Zelus Analytics

La société Zelus Analytics est liée au domaine zelus-analytics[.]com, qui était hébergé sur la même adresse IP que le domaine lié à PULSE FZCO. Le domaine se résolvait vers cette adresse IP depuis au moins le 8 mars 2024, deux jours avant l'enregistrement du domaine de PULSE FZCO, jusqu'au 28 octobre 2025, date à laquelle il a cessé de se résoudre vers cette adresse IP. Selon son site web, Zelus Analytics prétend fournir "un système unique d'analyse de données conçu pour traiter de grandes quantités de données provenant de sources multiples et de formats divers, y compris le texte, la voix, les images, la localisation, les calendriers, les métadonnées des contacts et plus encore, afin de fournir une image complète et holistique du renseignement à des fins d'enquête" (voir figure 6). Le système est appelé TCDA (Target Centric Data Analytics).

Figure 6: Site web lié à Zelus (sources : Recorded Future)

Dans la mythologie grecque, Zelus est le daimon qui personnifie le dévouement, la rivalité, l'envie, la jalousie et le zèle. Ce détail est d'autant plus intéressant que plusieurs compagnies précédentes, dont "Apollo" et "Hermes", se sont également inspirées de la mythologie grecque.

Dans le modèle objet du document (DOM) du site web de Zelus Analytics, un lien a été trouvé qui renvoie à la vidéo YouTube téléchargée par @dvir-horefhazan7938, un compte appartenant très probablement à Dvir Horef Hazan (voir la figure 7). Il est intéressant de noter qu'un lien vers la même vidéo a également été trouvé sur le site web apollowebtech[.]com, qui est hébergé sur l'adresse IP 173[.]236[.]243[.]198 depuis au moins le 13 mars 2024.

Figure 7: DOM sur le site web hébergé sur apollowebtech[.]com (sources : URLScan)

Le site web sur apollowebtech[.]com, qui est probablement liée à la société Apollo Technologies, dont il a été question plus haut et qui est connue pour ses liens avec Intellexa, se présente comme un "fournisseur de premier plan pour les services de police et de renseignement du monde entier" (voir figure 8).

Figure 8: Site web lié à apollowebtech[.]com (sources : URLScan)

La vidéo de YouTube est brève et présente une séquence de zoom avant d'un "réseau social", comme l'illustre la figure 9. Bien que son objectif exact ne soit pas clair, il est estimé que la vidéo était probablement destinée à donner une apparence de légitimité au site web ou qu'elle servait simplement d'élément de remplacement.

Figure 9: Vidéo YouTube liée à Dvir Horef Hazan (sources : YouTube)

Pulse Advertise

La société Pulse Advertise est associée au domaine pulseadvertise[.]com, qui était hébergé sur l'adresse IP 173[.]236[.]243[.]198 à partir du 16 mars 2024, et reste actif à cette adresse au moment de la rédaction du présent document. Comme PULSE FZCO, Pulse Advertise est enregistrée dans la DIFZA aux Émirats arabes unis. Insikt Group estime que Pulse Advertise est potentiellement impliquée dans un vecteur d'attaque connu sous le nom d'"Aladdin", qui est examiné plus en détail dans la section intitulée " Sociétés liées au "Czech Cluster" potentiellement liées à AdInt".

Notamment, le numéro de contact indiqué pour Pulse Advertise (voir figure 10) correspond à celui associé à Hadastech s.r.o., une société qui, selon un rapport de la police grecque, avait reçu des paiements d'Intellexa pour des services non spécifiés et avait importé 40 cargaisons d'une société ukrainienne non identifiée entre 2020 et 2021, décrites comme des téléphones portables et "d'autres appareils de mise en réseau".

Figure 10: Résultats d'une recherche Google pour Pulse Advertise (sources : Google Search)

MorningStar TEC

Enfin, Insikt Group a identifié une autre société, MorningStar TEC, associée au domaine morningstartec[.]com, qui était hébergé sur l'adresse IP 173[.]236[.]243[.]198 à partir du 8 mars 2024 au moins, jusqu'au moment de la rédaction du présent document. Notamment, le domaine zelus-analytics[.]com, mentionnée plus haut, a commencé à se résoudre le même jour. Selon son site web, MorningStar TEC est une "agence de croissance basée au Moyen-Orient", spécialisée dans le "marketing axé sur les résultats Campagne en tirant parti de la créativité, de la technologie et en regroupant des produits complémentaires pour vos clients" (voir figure 11).

Figure 11 : Résultats de MorningStar TEC à partir d'une recherche Google (sources : Google Search)

Levi Amos (l'orthographe peut varier), un entrepreneur israélien, est présenté comme le directeur de MorningStar TEC. Il a déjà été mentionné dans le cadre d'Intellexa. Selon un rapport de l'organisme d'enquête tchèque Investigace.cz, une déclaration d'expédition de décembre 2020 montrait qu'une société israélienne nommée Amos Levy Consultant Ltd, également appelée Amos Levi Ltd sur certains documents, avait fourni à Intellexa S.A. en Grèce "18 palettes de pièces d'ordinateur". La livraison aurait fait suite à un achat effectué par Hadastech s.r.o., la société liée à Dvir Horef Hazan. MorningStar TEC est lié à Shilo s.r.o., une société associée au domaine shilo[.]eu, que Insikt Group avait déjà signalé dans le cadre de l'infrastructure Tier 5 de Predator.

Comme pour Pulse Advertise, Insikt Group estime que Morning Star Tec pourrait également être impliquée dans un vecteur d'attaque connu sous le nom d'"Aladdin", qui est abordé plus en détail dans les sections ci-dessous.

Les entreprises liées à la "grappe tchèque" sont potentiellement liées à un vecteur d'infection

Comme indiqué précédemment, deux entreprises, Pulse Advertise et MorningStar TEC, se distinguent, car elles semblent toutes deux opérer dans le secteur de la publicité d'après leurs sites web. Selon son site web, Pulse Advertise offre "la plus puissante plateforme de diffusion d'annonces et la plus intégrée de SSP [plateforme du côté de l'offre] pour garantir l'optimisation du chemin de la valeur pour tous" (voir figure 12).

Figure 12: Site web lié à MorningStar TEC (sources : Recorded Future)

Le modèle d'entreprise de MorningStar TEC serait quant à lui axé sur les résultats basés sur la performance plutôt que sur la publicité traditionnelle (voir figure 13). Notamment, certaines parties du site web de MorningStar TEC semblent être programmées de manière incorrecte ; par exemple, le fait de cliquer sur l'onglet "Benefits" déclenche le téléchargement du fichier HTML du site web.

Figure 13: Site web sur morningstartec[.]com (sources : Recorded Future)

Insikt Group évalue que ces entités peuvent être impliquées dans un vecteur d'infection basé sur la publicité, en particulier un vecteur appelé "Aladdin". Le nom "Aladdin" a été signalé pour la première fois par Haaretz en avril 2024, sur la base de documents internes d'Intellexa datant de 2022 et ayant fait l'objet d'une fuite. Ces documents décrivent un système de démonstration appelé "Aladdin", conçu pour permettre aux opérateurs d'infecter des appareils iOS et Android ciblés par le biais de publicités en ligne malveillantes. Les publicités, placées ou dirigées vers des victimes spécifiques, ont servi de mécanisme de diffusion de l'exploit. Les documents divulgués comprenaient des démonstrations et de la documentation technique illustrant la manière dont le système tirait parti des réseaux publicitaires pour le ciblage, ainsi que des exemples d'annonces-appâts (telles que de fausses offres d'emploi destinées à des graphistes ou à des militants) qui, en cas d'interaction, déclenchaient la chaîne d'exploitation aboutissant à l'installation d'un logiciel espion. "Aladdin" ressemble à Sherlock, une capacité de surveillance commerciale développée par le fabricant israélien de logiciels Insanet, capable d'infecter des appareils fonctionnant sous Windows, Android et iOS. Insikt Group n'a pas connaissance de reporting indiquant que "Aladdin" a été utilisé dans la nature.

À un niveau élevé, le concept fonctionne comme suit : Lorsqu'une victime potentielle visite un site web contenant un emplacement publicitaire, le site demande une publicité à une plateforme du côté de l'offre (SSP). L'ad exchange sollicite ensuite des offres de la part de diverses plateformes à la demande (DSP), qui répondent par des offres basées sur leurs paramètres de ciblage. L'ad-exchange sélectionne l'offre la plus élevée et diffuse le contenu de l'annonce gagnante sur le site web. Le principal défi de ce processus consiste à identifier avec précision la cible visée et à remporter les enchères publicitaires afin de s'assurer que le contenu malveillant est diffusé à cette personne.

Notamment, un rapport de Vsquare datant d'août 2025 fait référence à une facture datée du 28 juillet 2022, émise à l'intention de l'une des sociétés de Dvir Horef Hazan, qui comprend la ligne "Paiement pour le projet POC, 'Aladin'". Ce projet serait lié à la démonstration de faisabilité d'Intellexa décrite par Haaretz en 2024. Cela suggère que le groupe tchèque a probablement joué un rôle dans "Aladin", bien que la nature exacte de son implication reste incertaine. Il convient de noter que le nom est orthographié "Aladin" dans la facture.

Recherche de clients d'Intellexa précédemment identifiés grâce aux données d'exportation

Comme indiqué ci-dessus, au moins l'une des sociétés listées précédemment, PULSE FZCO, fonctionne probablement comme une entité de façade utilisée pour faciliter l'expédition de produits liés à Intellexa, soit directement à des clients présumés d'Intellexa identifiés précédemment par Insikt Group, soit à des entités intermédiaires qui importent ces produits pour le compte des clients finaux.

Botswana

Sur la base des registres d'importation, Insikt Group a identifié que PULSE FZCO a expédié des produits à la Direction du renseignement et de la sécurité (DIS) du Botswana en octobre 2023. Ce département a déjà été associé à l'importation d'autres produits liés à la surveillance. Les envois ont été décrits en termes techniques relativement génériques. Si la valeur déclarée des expéditions semble relativement faible, cela peut refléter des données incomplètes dans les bases de données d'importation, l'implication d'autres entités de façade, ou la nature des marchandises elles-mêmes (par exemple, des composants de systèmes spécifiques plutôt que des plates-formes complètes). Notamment, environ un mois après l'enregistrement de cet envoi, Insikt Group a observé le début de l'activité associée au groupe Predator au Botswana (voir figure 14).

Figure 14: Chronologie des activités liées aux prédateurs au Botswana (sources : Recorded Future)

Sur la base de l'analyse de l'infrastructure, Insikt Group estime que le Botswana a continué à utiliser le logiciel espion Predator au moins jusqu'en juin 2025, et qu'il utilise encore potentiellement Predator à l'heure où nous écrivons ces lignes.

Kazakhstan

En octobre 2023, PULSE FZCO a expédié des produits à la société kazakhe OOO Seven Hills (voir figure 15), pour une valeur d'environ 6 463 070 090 KZT (environ 12,4 millions USD). Les descriptions de produits sont de nature technique, englobant à la fois les logiciels et le matériel, mais restent relativement génériques (par exemple, "ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС 'АНАЛИЗ ДАННЫХ", ce qui signifie "complexe matériel-logiciel 'Analyse de données'"). La société a déjà été associée à l'importation de technologies de surveillance pour le compte du Kazakhstan. Par exemple, OOO Seven Hills aurait importé des produits liés à l'entreprise suisse NeoSoft, qui a été impliquée dans de nombreux scandales liés à la capture d'identités d'abonnés mobiles internationaux (IMSI) et qui aurait vendu ou tenté de vendre des outils de surveillance à des régimes répressifs.

Figure 15: Site Internet lié à OOO Seven Hills (sources : Recorded Future)

Le Kazakhstan a été identifié comme un utilisateur de Predator à la fin de l'année 2023 et a fait l'objet d'un rapport public de la part d'Insikt Group en février 2024. Le pays a l'habitude de faire appel à des entreprises de cybersurveillance telles que NSO Group, FinFisher et RCS Lab pour cibler des militants et des hommes politiques.

Sur la base d'une analyse de l'infrastructure, Insikt Group estime que le Kazakhstan a continué à utiliser le logiciel espion Predator, au moins jusqu'en août 2025.

Philippines

En septembre 2023, PULSE FZCO a expédié des produits d'une valeur d'environ 113 532 USD à la société ComWorks, basée aux Philippines. La société est associée au domaine comworks-inc[.]com et, selon son site web, elle fournit "diverses solutions mobiles à différents marchés qui ajoutent de la valeur à nos partenaires et à nos mandants" (voir figure 16). En 2018, ComWorks figurait parmi les 1 000 premières entreprises des Philippines.

Figure 16: Site web lié à ComWorks (sources : URLScan)

Notamment, le PDG de ComWorks occupe le même poste chez Neo-Tech Asia Distribution, et Insikt Group a identifié des chevauchements d'employés ainsi que des signes d'une collaboration potentielle dans le domaine de la revente.

Insikt Group avait déjà identifié en 2023 un client de Predator dont le lien avec les Philippines était très probable, et avait rendu publique cette découverte en février 2024. Il n'est pas certain que ce client de Predator soit toujours actif au moment de la rédaction de ce document.

Poursuite des activités d'Intellexa dans plusieurs pays

Suite à diverses publications sur l'infrastructure Predator d'Intellexa depuis 2023 par Insikt Group et d'autres, Intellexa a commencé à modifier ses configurations d'infrastructure, rendant certaines formes de détection plus difficiles, comme nous l'avions anticipé. Par exemple, alors que Insikt Group observe toujours les domaines hébergés sur des serveurs privés virtuels, on observe une tendance à dissimuler l'infrastructure derrière Cloudflare. Dans l'ensemble, Insikt Group a observé moins d'infrastructures en 2025 qu'en 2024, ce qui suggère un ralentissement de l'activité, les changements dans les conventions de dénomination des domaines rendant plus difficile la connexion des domaines à des régions spécifiques et, par conséquent, à des clients.

Dans l'ensemble, il est donc plus difficile d'évaluer le niveau d'activité associé aux groupes de prédateurs observés. L'utilisation de Recorded Future Network Intelligence, Insikt Group a permis de déterminer que le groupe lié au Mozambique, signalé précédemment, est resté actif au moins jusqu'à la fin du mois de juin 2025.

En outre, plusieurs serveurs de niveau 4 dans d'autres clusters liés aux clients du logiciel espion Predator ont continué à communiquer avec l'infrastructure de niveau 5 (voir figure 18). À l'heure où nous écrivons ces lignes, des clients basés en Arabie saoudite, au Kazakhstan, en Angola et en Mongolie ont encore été observés en train de communiquer avec l'infrastructure de niveau 5, ce qui laisse supposer une poursuite de l'activité. En revanche, les clients du Botswana, de Trinité-et-Tobago et d'Égypte ont cessé de communiquer en juin, mai et mars 2025, respectivement. Cela peut indiquer que ces entités ont cessé d'utiliser le logiciel espion Predator à cette époque ; cependant, il est également possible qu'elles aient simplement modifié ou migré leurs configurations d'infrastructure.

Figure 18: Infrastructure à plusieurs niveaux liée à Predator (sources : Recorded Future)

Des éléments supplémentaires justifient la présence opérationnelle en Irak

Insikt Group avait déjà observé que les domaines liés aux prédateurs comportaient souvent des mots-clés ou des modèles de dénomination qui pouvaient donner une idée de leur ciblage ou des clients associés. Sur la base de cette observation, et en combinaison avec Recorded Future Network Intelligence, Insikt Group avait, par exemple,évalué historiquement l' activité des prédateurs en Irak, en identifiant plusieurs domaines susceptibles de faire référence à des communautés ou des groupes liés au dialecte Badini parlé dans la région de Badinan au Kurdistan irakien. Notamment, les premier et quatrième domaines sont devenus actifs le même jour, tandis que les deuxième et troisième domaines semblent avoir été mis en service à peu près au même moment. "Gardalul" est un documentaire qui explore l'histoire des Kurdes au Kurdistan irakien et la vie des combattants peshmerga sous le régime du Baas.

Tableau 1: Domaines et adresses IP susceptibles d'être liés à un client de Predator situé en Irak (sources : Recorded Future)

Plus précisément, Insikt Group a observé des communications réseau entre l'infrastructure de niveau 5, décrite plus en détail dans le rapport d'Insikt Group de juin 2025 sur Predator, et une adresse IP statique attribuée par un fournisseur d'accès à Internet (FAI) et géolocalisée en Irak. Le schéma de communication correspondait à celui généralement observé entre les serveurs de niveau 4 et l'infrastructure de niveau 5 dans d'autres déploiements de Predator.

En outre, Insikt Group a identifié un trafic de victimes présumées provenant de l'espace IP irakien vers au moins un serveur Predator de niveau 1, à savoir 169[.]239[.]129[.]23, qui héberge le domaine eppointment[.]io le 8 avril 2024. Bien que Insikt Group n'ait pas encore observé une chaîne de communication complète reliant les niveaux 1 à 5, Insikt Group estime avec un degré de confiance moyen qu'il existe un client pour les logiciels espions Predator en Irak et que ce client restera probablement opérationnel en 2025.

Pour replacer les choses dans leur contexte, les autorités irakiennes, en particulier le Service de lutte contre le terrorisme (CTS), ont déjà cherché à se procurer le logiciel espion "RCS/Galileo" de Hacking Team en 2014 et 2015, comme l'a révélé une fuite de correspondance dans laquelle un "représentant du gouvernement irakien" demandait à "tester" la solution de piratage téléphonique de l'entreprise, ce qui laisse supposer une tentative d'achat direct. Une fuite de la feuille de calcul du renouvellement des clients a également indiqué "INTECH-CONDOR K - Iraqi Kurdistan" comme actif (renouvellement daté du 30 juin 2015), ce qui indique un déploiement opérationnel dans la région du Kurdistan d'Irak (KRI) par l'intermédiaire d'un revendeur. À l'appui, les médias allemands ont rapporté que des logiciels espions avaient été fournis aux autorités kurdes dans le nord de l'Irak sous le nom de code "Condor". Le gouvernement du Kurdistan a également été associé à d'autres ventes de logiciels espions, notamment par l'intermédiaire de Ben Jamil.

Activités suspectes au Pakistan

Insikt Group a identifié des indicateurs d'infrastructure susceptibles d'être associés à l'utilisation du logiciel espion Predator lié au Pakistan. Toutefois, sur la base des indicateurs identifiés, il n'est pas possible de savoir si ces armes ont été déployées contre des cibles situées au Pakistan ou liées à ce pays, ou si un client opérait à partir du Pakistan. Sur la base des indicateurs d'infrastructure identifiés, Insikt Group estime que le ciblage s'est probablement concentré sur des individus situés dans la région du Baloutchistan ou liés à cette région.

Mitigations

• Exploitez les indicateurs de compromission (IoC) pour identifier les infections potentielles passées ou en cours et utilisez le site Recorded Future Intelligence Cloud pour surveiller la présence de Predator ou d'autres logiciels malveillants.
• Adoptez un état d'esprit de sécurité collective en restant vigilant quant à votre propre exposition et à celle de vos collègues, amis et membres de votre famille qui pourraient être ciblés indirectement.
• Faites preuve d'une grande prudence face aux tentatives de spearphishing, en vérifiant les messages ou les pièces jointes inattendus avant d'y répondre.
• Limitez l'utilisation d'applications inutiles afin de réduire la surface d'attaque de votre appareil et de minimiser l'exposition à des logiciels malveillants ou compromettants.
• Maintenez les appareils mobiles à jour en appliquant rapidement les correctifs du système d'exploitation et des applications afin d'atténuer les vulnérabilités connues en matière de sécurité.
• Activez le mode verrouillage lorsqu'il est disponible pour renforcer les défenses de l'appareil contre les logiciels espions avancés et les attaques basées sur des exploits.
• Utilisez le blocage des publicités et limitez les identifiants de suivi des publicités afin de réduire l'exposition aux publicités malveillantes et aux vecteurs d'attaque basés sur le suivi.

Outlook

Insikt GroupLes dernières recherches de l'équipe de recherche d'Intellexa permettent d'approfondir le réseau d'entreprise d'Intellexa, révélant un réseau d'entités interconnectées qui servent probablement des objectifs opérationnels distincts. Malgré une exposition publique croissante et des mesures internationales destinées à limiter sa prolifération, Intellexa reste active, illustrant la résilience et la capacité d'adaptation de l'industrie mercenaire des logiciels espions. Les résultats soulignent également que le suivi et l'analyse des logiciels espions avancés tels que Predator sont de plus en plus complexes, non seulement en raison de l'évolution des exploits et des modes de diffusion ( TTPs ), mais aussi en raison de l'opacité des structures d'entreprise mondiales qui permettent et masquent ces opérations. Cette évolution s'accompagne d'une plus grande prolifération de ces capacités, ce qui rend les technologies offensives autrefois exclusives beaucoup plus largement disponibles. À l'ère de la fragmentation mondiale, des conflits et des changements de pouvoir, la demande pour ces capacités ne cesse de croître, car les renseignements sur les activités, les pensées et les créations des individus deviennent un instrument de contrôle politique, économique et social.

En ce qui concerne l'avenir, bien qu'il ne soit pas complet, Insikt Group estime que plusieurs modèles clés façonnent la trajectoire de l'écosystème des logiciels espions. Un processus de balkanisation est clairement en cours, les entreprises se divisant de plus en plus selon des lignes géopolitiques : Certaines entités précédemment sanctionnées recherchent la légitimité et l'accès aux marchés occidentaux par le biais d'acquisitions(1, 2), tandis que d'autres se tournent vers des régions moins surveillées. Cette fragmentation s'accompagne d'un renouvellement constant du marché, puisque des entreprises nouvellement créées ou rebaptisées apparaissent pour remplacer les entités sanctionnées ou disparues, et fonctionnent souvent comme des façades ou des prolongements des mêmes opérations sous-jacentes, ce qui rend l'analyse des entreprises et des lois de plus en plus cruciale pour une recherche efficace sur les menaces. Malgré ces changements, un noyau d'individus et de facilitateurs persiste, réapparaissant dans différentes entreprises et servant de colonne vertébrale juridique, financière et logistique au secteur. Entre-temps, les défis du secteur s'intensifient : La valeur élevée des technologies des logiciels espions, en particulier leurs capacités d'exploitation, et le secret qui les entoure alimentent les risques de corruption, de fuites d'initiés, voire d'attaques contre les sociétés mercenaires de logiciels espions elles-mêmes. Enfin, le champ du ciblage continue de s'étendre au-delà des journalistes, des militants et des hommes politiques pour inclure des dirigeants d'entreprise et des personnalités du secteur privé, comme le montrent les affaires Predator en Grèce et Paragon en Italie(1, 2). Ces développements suggèrent que ce qui est publiquement visible ne représente probablement qu'une petite partie d'un écosystème mondial beaucoup plus vaste et largement dissimulé. Un aspect souvent sous-estimé est le coût personnel et professionnel élevé auquel les victimes sont confrontées lorsqu'elles s'expriment, car cela peut compromettre leurs relations d'affaires, leurs sources d'approvisionnement (par exemple, dans le journalisme) ou leur confiance (par exemple, au sein de la communauté de la sécurité).

Ensemble, ces dynamiques suggèrent une évolution et une diffusion continues des opérations mercenaires d'espionnage, nécessitant une surveillance soutenue, des efforts politiques coordonnés et des contre-mesures technologiques et juridiques améliorées afin d'atténuer leur impact au niveau mondial.

Annexe A : Indicateurs de compromission (IoC)

Domaines :
badinigroup[.]com
birura[.]com
gardalul[.]com
keep-badinigroups[.]com

Adresses IP :
5[.]253[.]43[.]92
38[.]180[.]54[.]77
45[.]86[.]231[.]8
89[.]150[.]57[.]85

Appendix B: MITRE ATT&CK Techniques