Predator Spyware Operators Rebuild Multi-Tier Infrastructure to Target Mobile Devices

Une nouvelle étude du groupe Insikt de Recorded Future examine l'infrastructure récemment découverte liée aux opérateurs de Predator, un logiciel espion mobile pour mercenaires développé par Cytrox et actuellement géré par l'alliance Intellexa. L'infrastructure serait utilisée dans au moins onze pays, dont l'Angola, l'Arménie, le Botswana, l'Égypte, l'Indonésie, le Kazakhstan, la Mongolie, Oman, les Philippines, l'Arabie saoudite et Trinité-et-Tobago. C'est notamment la première fois que des clients au Botswana et aux Philippines sont identifiés publiquement. Bien qu'il soit commercialisé pour la lutte contre le terrorisme et l'application de la loi, Predator a souvent été utilisé contre la société civile, ciblant les journalistes, les politiciens et les militants. Dans cette dernière activité, aucune victime ou cible spécifique n'a été identifiée.

Multi-tier Predator delivery network architecture (Source: Recorded Future)

Understanding Risks and Implementing Security Best Practices

L'utilisation de logiciels espions tels que Predator présente des risques importants pour la vie privée, la légalité et la sécurité physique, en particulier lorsqu'ils sont utilisés en dehors de contextes liés à la criminalité grave et à la lutte contre le terrorisme. Bien que la plupart des cas d'abus visent la société civile, d'autres organisations et individus dans des régions connues pour leur utilisation abusive de logiciels espions doivent rester conscients du risque, quel que soit leur secteur d'activité ou leur situation géographique. Compte tenu des coûts de déploiement élevés et des frais par infection, les personnes de haut niveau, telles que les cadres, qui sont censées posséder une valeur de renseignement importante sont plus susceptibles d'être ciblées. L'Union européenne a récemment pris des mesures pour mettre fin à l'utilisation abusive de logiciels espions mercenaires dans ses États membres.

À mesure que le marché des logiciels espions mercenaires se développe avec de nouvelles entreprises et de nouveaux produits, le risque d'être ciblé s'étend à toute personne présentant un intérêt pour les entités ayant accès à ces outils ou à des capacités similaires. Avec une rentabilité continue, une concurrence accrue et une sécurité informatique renforcée, l'innovation permettra probablement de développer davantage de méthodes d'infection secrètes, telles que la persistance par le biais de réinitialisations d'usine, de nouvelles cibles telles que les sauvegardes sur le cloud, un écosystème de logiciels espions plus professionnalisé et des gammes de produits plus étendues. Par conséquent, les stratégies d'atténuation efficaces doivent impliquer une surveillance étroite de l'écosystème, des évaluations approfondies des risques et des réglementations plus strictes de la part des décideurs.

Mitigation Strategies

To mitigate these risks, organizations and individuals are advised to follow security best practices such as regular phone updates, device reboots, lockdown mode, Mobile Device Management systems, and separating personal from corporate devices. Security awareness training and minimal data exposure culture are also crucial. Long-term solutions include conducting risk assessments for developing dynamic security policies. As the mercenary spyware market expands, the risks extend beyond civil society to anyone of interest to entities with access to these tools. Innovations in this field are likely to lead to more stealthy and comprehensive spyware capabilities.

Les principales conclusions de l'étude d'Insikt Group comprennent la découverte d'une nouvelle infrastructure de distribution de Predator à plusieurs niveaux, indiquant l'utilisation continue probable de Predator dans au moins onze pays. Cette conclusion est étayée par l'analyse du domaine et les informations de Recorded Future Network Intelligence. Malgré les révélations publiques de septembre 2023, les opérateurs de Predator ont poursuivi leurs activités avec un minimum de changements. Predator, tout comme Pegasus de NSO Group, reste l'un des principaux fournisseurs de logiciels espions mercenaires, avec des tactiques, des techniques et des procédures cohérentes au fil du temps.

To read the entire analysis, click here to download the report as a PDF.

Remarque : ce résumé du rapport a été publié pour la première fois le 1 mars 2024 et a été mis à jour le 30 octobre 2024. L'analyse et les résultats d'origine restent inchangés.

Indicators of Compromise

Predator Delivery Servers

MITRE ATT&CK TTPs