Predator Still Active, with New Client and Corporate Links Identified
Executive Summary
À la suite des révélations publiques majeures faites par Insikt Group et d'autres au cours des deux dernières années, ainsi que des sanctions du gouvernement américain visant le consortium Intellexa (la structure organisationnelle derrière le logiciel espion mobile Predator) Insikt Group a observé un déclin significatif de l'activité liée à Predator. Ce déclin apparent a soulevé des questions sur la possibilité que la combinaison des sanctions américaines, de l'exposition publique et des efforts internationaux plus larges pour freiner la prolifération des logiciels espions, tels que le processus Pall Mall dirigé par le Royaume-Uni et la France, ait porté un coup durable aux opérations d'Intellexa. Pourtant, l'activité des prédateurs n'a pas cessé et, au cours des derniers mois, Insikt Group a observé une recrudescence de l'activité, ce qui témoigne de la persistance continue des opérateurs. Bien qu'une grande partie de l'infrastructure identifiée soit liée à des opérateurs connus de Predator dans des pays déjà identifiés par Insikt Group, un nouveau client a également été identifié au Mozambique, un pays qui n'avait pas encore été publiquement lié au logiciel espion. Cela correspond à l'observation générale selon laquelle Predator est très active en Afrique, plus de la moitié de ses clients identifiés se trouvant sur le continent. En outre, Insikt Group a trouvé une connexion entre l'infrastructure de haut niveau de Predator et une entité tchèque auparavant associée au consortium Intellexa.
Le déploiement de logiciels espions tels que Predator au-delà d'une utilisation légitime à des fins criminelles ou antiterroristes constitue une menace sérieuse pour la vie privée, les droits légaux et la sécurité physique des cibles directes et des individus associés. Alors que la plupart des cas d'abus connus ont visé la société civile et les militants politiques, les particuliers et les organisations dans les régions ayant un historique d'utilisation abusive de logiciels espions doivent rester vigilants, quel que soit le secteur. Compte tenu du modèle de licence coûteux de Predator, son utilisation est généralement réservée à des cibles stratégiques de grande valeur. Cela rend les politiciens, les dirigeants d'entreprises et d'autres personnes occupant des postes sensibles particulièrement vulnérables en raison des informations sensibles qu'ils peuvent posséder. L'utilisation de logiciels espions contre des personnalités de l'opposition politique fait actuellement l'objet d'une enquête dans plusieurs pays de l'UE, ce qui témoigne des efforts déployés à l'échelle mondiale pour limiter les activités des développeurs mercenaires de logiciels espions.
Comme indiqué dans les rapports précédents d'Insikt Group sur Predator, les défenseurs doivent suivre les meilleures pratiques recommandées. Cela inclut de s'assurer que les appareils personnels et professionnels restent séparés, de mettre à jour régulièrement les téléphones, d'encourager les redémarrages périodiques des appareils (même si cela ne permet pas toujours d'éliminer complètement Predator), d'utiliser le mode de verrouillage et de mettre en œuvre un système de gestion des appareils mobiles (MDM). En outre, il est essentiel d'investir dans des formations de sensibilisation à la sécurité pour les employés et de promouvoir une culture de réduction de l'exposition des données afin de réduire le risque de succès des attaques de spearphishing et de limiter le vol de données en cas de violation.
Insikt Group s'attend à ce que le marché des logiciels espions mercenaires continue de croître, stimulé par une demande constante et la rentabilité des entreprises. Cette croissance sera probablement accompagnée d'une innovation continue, car l'intensification de la concurrence et le renforcement de la sécurité informatique parmi les cibles stimulent le développement de nouveaux produits et techniques. Par exemple, alors que les défenseurs s'efforcent d'éliminer des classes entières de vulnérabilités, les opérateurs de logiciels espions peuvent s'adapter en ciblant des alternatives telles que les sauvegardes dans le cloud accessibles via des identifiants volés ou en utilisant de nouvelles méthodes de déploiement. À mesure que ces outils se multiplient et que les techniques évoluent, l'éventail des victimes pourrait s'étendre au-delà de la société civile, influençant le discours politique et provoquant de nouvelles confrontations juridiques. Les récentes décisions de justice en faveur des entreprises technologiques contre les vendeurs de logiciels espions pourraient créer un précédent, encourageant davantage d'entreprises à lutter activement contre l'utilisation abusive de leurs plateformes. Insikt Group prévoit que les vendeurs de logiciels espions continueront à utiliser des structures d'entreprise complexes pour échapper aux sanctions ou à la détection, tout en adaptant de plus en plus leurs opérations à des régions spécifiques, une tendance souvent décrite comme la balkanisation de l'écosystème.
Key Findings
- Insikt Group a identifié une nouvelle infrastructure associée à Predator, indiquant la poursuite des opérations malgré l'exposition publique, les sanctions internationales et les interventions politiques.
- L'infrastructure nouvellement identifiée comprend à la fois des serveurs de niveau 1 orientés vers les victimes et des composants de haut niveau qui sont probablement reliés à des opérateurs de Predator dans différents pays.
- Bien qu'une grande partie de l'infrastructure de Predator reste cohérente avec les rapports précédents, ses opérateurs ont introduit des changements conçus pour échapper davantage à la détection, un modèle qu'Insikt Group a noté dans un rapport précédent.
- Insikt Group a détecté des activités liées à Predator dans plusieurs pays au cours des douze derniers mois et est le premier à signaler la présence présumée d'un opérateur Predator au Mozambique.
- Insikt Group a également connecté des composants de l'infrastructure de Predator à une entité tchèque précédemment associée au consortium Intellexa par un média d'investigation tchèque.
Background
Predator est un logiciel espion mercenaire sophistiqué ciblant les appareils Android et iPhone, actif depuis au moins 2019. Développé à l'origine par Cytrox et aujourd'hui exploité dans le cadre de l'alliance Intellexa, Predator est conçu pour être flexible et furtif, laissant un minimum de traces sur les appareils infectés et rendant les enquêtes externes sur les abus particulièrement difficiles. Une fois déployé, Predator offre un accès complet au microphone, à la caméra et à toutes les données de l'appareil, telles que les contacts, les messages, les photos et les vidéos, sans que la victime en ait conscience. La conception modulaire du logiciel espion, basée sur Python, permet aux opérateurs d'introduire de nouvelles fonctionnalités à distance, sans avoir besoin de réexploiter l'appareil.
Predator peut être délivré par des vecteurs d'attaque de type « 1 clic » et « zéro-clic ». « Les attaques de type “1 clic” reposent sur des messages d'ingénierie sociale contenant des liens malveillants qui nécessitent une interaction de l'utilisateur (<a href=\" \" target=\"\">1, <a href=\" \" target=\" \">2, <a href=\" \" target=\" \">3), tandis que les attaques de type “zéro-clic”, décrites dans les “<a href=\"\" target=\" \">les fichiers Predator”, font appel à des techniques qui ne nécessitent aucune action de la part de la cible, telles que l'injection réseau ou les méthodes basées sur la proximité. » Cependant, il n'y a pas eu de cas confirmés de Predator utilisant des exploits « zero-click » entièrement distants comme ceux observés avec NSO Group Pegasus, qui peuvent compromettre les appareils par le biais d'applications de messagerie sans aucune interaction de l'utilisateur (par exemple, FORCEDENTRY ou BLASTPASS).
Au cours des deux dernières années, Insikt Group a identifié des opérateurs présumés de Predator dans plus d'une douzaine de pays, notamment en Angola, en Arménie, au Botswana, en République démocratique du Congo, en Égypte, en Indonésie, au Kazakhstan, en Mongolie, au Mozambique, à Oman, aux Philippines, en Arabie saoudite et à Trinité-et-Tobago (1, 2). Il s'agit notamment du premier rapport public identifiant le Mozambique comme un client présumé. Alors que le Predator est ostensiblement commercialisé à des fins de lutte contre le terrorisme et d'application de la loi, des rapports antérieurs ont documenté un schéma clair de son déploiement contre des acteurs de la société civile, notamment des journalistes et des activistes, ainsi que des hommes politiques(1, 2, 3, 4). Les cas décrits dans les rapports précédents ne représentent probablement qu'une petite partie de l'ensemble des abus, étant donné l'utilisation généralisée de logiciels espions mercenaires tels que Predator, la difficulté de détection et le soutien limité aux victimes. Il est important de souligner le risque de ciblage transfrontalier, qui a été observé non seulement avec Predator, où un opérateur lié au Vietnam a ciblé des fonctionnaires de l'UE et des membres du Parlement européen, mais aussi avec d'autres logiciels espions mercenaires, tels que Pegasus.
Malgré la multiplication des rapports publics sur l'infrastructure et les techniques de Predator, ainsi que l'attention croissante portée à la structure de l'entreprise Intellexa, les activités de Predator restent actives. Cette persistance se poursuit même après des mesures telles que des sanctions américaines, une résolution de l'UE, une interdiction de visa américaine pour les filiales d'Intellexa et le lancement du Pall Mall Process, parallèlement à l'augmentation probable des coûts d'exploitation, en particulier pour les iPhone. Cette évolution reflète probablement la demande croissante d'outils d'espionnage, en particulier dans les pays soumis à des restrictions à l'exportation, l'innovation technique continue en réponse aux rapports publics et aux améliorations de la sécurité, ainsi que les structures d'entreprise de plus en plus complexes conçues pour empêcher les sanctions et l'attribution de responsabilités. Un exemple de ce type, impliquant une entité tchèque probablement liée aux opérations Predator, est abordé plus loin dans ce rapport.
Threat Analysis
Serveurs de niveau 1 (C2)
Insikt Group a identifié une nouvelle infrastructure de niveau 1 (C2) destinée aux victimes qui est très probablement associée à Predator, y compris des domaines et des adresses IP. Bien que les fonctions spécifiques de ces domaines et adresses IP n'aient pas encore été confirmées, ils sont probablement impliqués dans la livraison de charges utiles et dans le processus d'exploitation, conformément à l'infrastructure précédente liée à Predator. Un tableau dans l'annexe B présente les domaines et les adresses IP observés au cours des douze derniers mois.
Auparavant, les domaines liés à Predator usurpaient souvent l'identité d'organisations spécifiques, telles que des organes de presse locaux fréquemment visités, comme l'a rapporté Insikt Group par le passé (1, 2). Toutefois, cette tendance a commencé à changer progressivement à la suite de l'attention accrue des médias et des rapports publics à partir de la fin de l'année 2023. Les domaines les plus récents sont désormais généralement constitués de deux ou plusieurs mots anglais apparemment aléatoires. Insikt Group a observé que certains de ces domaines réutilisent des mots-clés particuliers (par exemple, boundbreeze[.]com et branchbreeze[.]com) contiennent le mot « breeze ». Dans quelques cas récents, les domaines comportent des mots en portugais, ce qui reflète probablement la langue des cibles visées. De plus, certains domaines contiennent des mots-clés qui pourraient fournir des indices sur leur ciblage, tels que keep-badinigroups[.]com, qui peuvent faire référence à des communautés ou à des groupes associés au dialecte badini parlé dans la région de Badinan au Kurdistan irakien.
La majorité des domaines identifiés ont été enregistrés par l'intermédiaire du bureau d'enregistrement PDR Ltd. d/b/a PublicDomainRegistry.com et utilisent généralement des serveurs de noms associés à orderbox-dns[.]com, entre autres. Alors que l'infrastructure de Predator a toujours privilégié certains numéros de systèmes autonomes (ASN) tels que AS62005, AS61138 et AS44066, Insikt Group a observé que les domaines liés à Predator les plus récents sont hébergés sur un éventail plus large d'ASN, y compris AS42708, AS20473 et AS44477, qui n'ont pas été précédemment liés à l'activité de Predator. Notamment, Insikt Group a également identifié au moins un cas où un serveur lié à une infrastructure Predator de niveau supérieur était hébergé par Stark Industries.
Stratégies d'évasion pour la détection des infrastructures suspectes
En réponse à l'exposition publique permanente, les opérateurs de Predator ont adopté diverses tactiques pour échapper à la détection. Il s'agit notamment d'utiliser des configurations de serveurs plus variées que ce qui a été rapporté précédemment, d'accroître la diversité des ASN et d'introduire des couches supplémentaires dans leur infrastructure à plusieurs niveaux, entre autres approches. Une stratégie notable consiste à utiliser de faux sites web, qui se répartissent généralement en quatre catégories principales : de fausses pages d'erreur 404, de fausses pages de connexion ou d'enregistrement, des sites indiquant qu'ils sont en construction et des sites web prétendant être associés à des entités spécifiques, telles qu'une conférence (voir les figures 1 à 4).
Infrastructure à plusieurs niveaux
Comme l'a déjà signalé Insikt Group, les clients de Predator continuent d'utiliser un réseau d'infrastructure à plusieurs niveaux, vraisemblablement conçu pour permettre le ciblage de personnes ou d'entités spécifiques (voir Figure 5). Ce réseau ressemble beaucoup à l'architecture de haut niveau décrite dans le rapport d'octobre 2023 d'Amnesty, mais il n'a cessé d'évoluer depuis. Les versions antérieures de l'infrastructure à plusieurs niveaux de Predator, rapportées par Insikt Group en mars 2024, ne comportaient que trois couches. L'ajout d'une quatrième couche dans le design actuel a probablement pour but de masquer davantage l'identification des pays soupçonnés de déployer Predator.
En s'appuyant sur Recorded Future® Network Intelligence, Insikt Group a observé que les serveurs de niveau 1 communiquent systématiquement avec une adresse IP dédiée de serveur privé virtuel (VPS) en amont de niveau 2 en utilisant le port 10514 du protocole de contrôle de transmission (TCP). Ces serveurs en amont fonctionnent probablement comme des points de saut d'anonymisation, ce qui rend plus difficile l'association directe des serveurs de niveau 1 aux clients individuels de Predator. La communication sur le port TCP 10514 est également observée de manière constante entre les serveurs de niveau 2 et de niveau 3. Par la suite, les serveurs de niveau 3 relaient le trafic vers la couche de niveau 4, qui semble correspondre aux adresses IP statiques des FAI nationaux, soupçonnées d'être sous le contrôle des clients de Predator. Dans chaque cas analysé, les serveurs de niveau 1 ainsi que leurs serveurs en amont correspondants semblaient être exclusivement dédiés à un seul client.
Alors que seuls les niveaux 1 à 4 semblent directement connectés à l'infrastructure opérationnelle des clients de Predator, Insikt Group a également surveillé une couche supplémentaire, appelée niveau 5, qui semble jouer un rôle central, bien que toujours flou, dans les opérations liées à Predator. Les serveurs de niveau 5 ont été liés à une entité en République tchèque, FoxITech s.r.o., qui a déjà été publiquement associée à Intellexa et est discutée plus en détail dans la section « Connexion à l'entité tchèque ».
Utilisation présumée de prédateurs dans certains pays
Depuis qu'Insikt Group a commencé à faire des reportages sur Predator en mars 2024, les opérateurs présumés du logiciel espion ont été identifiés dans plus d'une douzaine de pays à travers le monde. Si plusieurs de ces opérateurs sont restés actifs au cours des douze derniers mois, l'activité semble avoir cessé dans certains endroits, probablement en raison des rapports publics, ce qui se traduit par une diminution globale du nombre d'opérateurs de prédateurs actuels. Par exemple, en République démocratique du Congo (RDC), les opérations semblent avoir cessé environ deux semaines après que Insikt Group a publié ses conclusions sur les activités liées à la RDC en septembre 2024. De même, l'opérateur suspecté en Angola est devenu inactif à peu près à la même période, pour reprendre ses activités début 2025, selon Recorded Future Network Intelligence. En outre, Insikt Group a découvert des preuves de l'utilisation de Predator au Mozambique, un pays où aucun opérateur de Predator n'avait été identifié avant ce rapport.
Mozambique
En s'appuyant sur les renseignements de Recorded Future Network Intelligence et d'autres artefacts, Insikt Group attribue avec une grande certitude les domaines listés dans le Tableau 1 à un opérateur présumé de Predator basé au Mozambique. En outre, plusieurs autres domaines, y compris mdundobeats[.]com, noticiafamosos[.]com, et onelifestyle24[.]com, ainsi que d'autres de l'Appendix B, sont probablement liés au même client sur la base de divers indicateurs techniques dans les sources de Recorded Future. Notamment, toutes les adresses IP associées à ces domaines, à l'exception de celle qui héberge onelifestyle24[.]com, se trouvent dans les deux mêmes plages CIDR /24. Insikt Group évalue en outre, en utilisant à la fois Recorded Future Network Intelligence et les données DNS passives, que l'opérateur présumé de Predator au Mozambique est devenu actif au cours du premier semestre 2024 et semble toujours être actif au moment de la rédaction.
Table 1: Domains and IP addresses linked to Predator customer located in Mozambique (Source: Recorded Future)
Bien qu'aucun rapport public n'ait à ce jour établi un lien entre Predator et le Mozambique, des enquêtes antérieures ont permis de relier ce pays à d'autres formes de surveillance. En 2021, un rapport, s'appuyant sur une analyse de Citizen Lab de 2018, a suggéré que le Mozambique était probablement un opérateur de Pegasus (il n'y avait pas d'infections confirmées de Pegasus au Mozambique à ce moment-là). En outre, un rapport de 2016 par le média d'investigation mozambicain Verdade a révélé que le gouvernement avait acquis et utilisait des technologies de surveillance avancées pour surveiller les communications des citoyens.
Cluster supplémentaire lié à un pays d'Europe de l'Est
Si un grand nombre de domaines et d'adresses IP identifiés peuvent être attribués à des opérateurs suspects spécifiques dans certains pays, l'attribution est moins évidente dans d'autres cas. Les indicateurs techniques connectent souvent plusieurs domaines et adresses IP dans des clusters distincts, qui, selon Insikt Group, sont probablement contrôlés par le même opérateur.
L'un de ces clusters s'est distingué par sa brève période d'activité. Recorded Future Network Intelligence indique que ce cluster n'a été actif que d'août à novembre 2024 et consistait probablement en seulement deux ensembles de serveurs de niveau 1 à 4. Ce cluster pourrait représenter des opérations de test et de développement en raison de sa brièveté, ou il pourrait être lié à un opérateur d'Europe de l'Est en raison de sa localisation. Actuellement, speedbrawse[.]com est le seul domaine associé à ce cluster. Insikt Group évalue que l'arrêt soudain de l'activité de cet opérateur pourrait également être lié à l'escalade des sanctions contre Intellexa en septembre 2024.
Connexion à une entité tchèque
Au cours de l'enquête sur l'utilisation de Predator contre le journaliste grec Thanasis Koukakis et d'autres personnes, le procureur de la Cour suprême grecque a ordonné à la police financière de compiler un rapport sur les sociétés liées au consortium Intellexa, un document obtenu plus tard par le média d'investigation tchèque Investigace.cz. Ce rapport contient un tableau des fournisseurs qui répertorie les entités associées à Intellexa, y compris une personne nommée Dvir Horef Hazan. Lui, ainsi que les connexions décrites dans le rapport, sont illustrés à la Figure 6.
Les enquêtes menées par le média tchèque ont révélé que Hazan, propriétaire de bistrot, programmeur et entrepreneur tchèque possédant au moins huit entreprises tchèques, dont quatre spécialisées dans le marketing, le conseil et le conseil en informatique, aurait travaillé pour Intellexa. Les rapports de la police grecque montrent qu'Intellexa a transféré près de 3 millions d'euros à Hazan et à trois de ses sociétés (Zambrano Trade s.r.o., Hadastech s.r.o. et Shilo s.r.o.) pour des services non spécifiés. De plus, les dossiers d'Importgenius révèlent que Hadastech, dirigée uniquement par Hazan, a reçu 40 envois d'une société ukrainienne non identifiée entre 2020 et 2021, décrits comme des téléphones portables et « autres appareils de réseau ».
Une analyse plus approfondie montre que Hazan est également indirectement lié à FoxITech s.r.o., une société tchèque basée à Krnov et détenue par Michal Ikonomidis, qui prétend fournir des services intégrés en informatique et affaires, y compris le développement de logiciels, la cybersécurité, le recrutement en ressources humaines et le soutien administratif, à des clients dans le monde entier. Plus précisément, FoxITech s.r.o. a son siège dans un bâtiment appartenant à l'une des sociétés de Hazan, qui abrite également les autres entreprises de Hazan mentionnées précédemment. Ce lien entre Hazan et FoxITech s.r.o. est également prouvé par le fait que Hazan et Ikonomidis semblent être amis, selon les réseaux sociaux, et par le fait que la première entreprise de Hazan et FoxITech s.r.o. ont toutes deux été enregistrées chez le notaire par le même mandataire. De plus, les entrées RIPE (Réseaux IP Européens) liées à FoxITech s.r.o. incluent les adresses e-mail associées à l'entreprise de Hazan, Shilo s.r.o. Selon Investigace.cz, un e-mail envoyé à FoxITech s.r.o. a reçu une réponse provenant d'une adresse appartenant à l'une des entreprises de Hazan, Bender ONE s.r.o.
Bien que la nature et l'objectif précis de la connexion entre FoxITech s.r.o. et les opérations de Predator ne soient pas clairs, Insikt Group a observé que les serveurs de niveau 4 communiquent régulièrement avec l'infrastructure de niveau 5, qui est liée à FoxITech s.r.o. Cela établit un lien entre l'infrastructure à plusieurs niveaux de Predator et l'entité tchèque, marquant ainsi la première connexion technique établie entre l'infrastructure de Predator et les entités corporatives associées au consortium Intellexa.
Investigace.cz a notamment publié un article sur Cytrox en République tchèque, révélant que le directeur coté en bourse de la société était un retraité d'un village proche d'Ostrava qui ne connaissait pas Intellexa. Elle connaissait Hazan, une connaissance de la famille vivant à proximité. De plus, le mari de sa fille, Amos Uzan, est un Israélien qui a travaillé dans des rôles de sécurité et de communication au sein du gouvernement de 2003 à 2009, pendant le mandat d'Ehud Olmert en tant que Premier ministre. Olmert avait précédemment révélé qu'il était un conseiller rémunéré pour Intellexa entre 2006 et 2009.
Outlook
Insikt Group a découvert des preuves indiquant la poursuite de l'utilisation de Predator, y compris au Mozambique, malgré l'attention médiatique généralisée et les sanctions visant Intellexa et des entités apparentées. Bien qu'une activité récente ait été observée, le nombre réduit d'opérateurs suspectés par rapport aux rapports antérieurs suggère que l'exposition publique, les sanctions et les mesures connexes ont probablement imposé des coûts opérationnels à Intellexa. De plus, bien que les opérateurs de Predator aient historiquement maintenu un mode opératoire constant, les dernières découvertes révèlent l'adoption de nouvelles tactiques pour échapper à la détection. Les sanctions et autres pressions devraient inciter à accroître la complexité des structures des entreprises, rendant les opérations plus difficiles à tracer et à perturber. La diffusion continue de Predator et de logiciels espions similaires, ainsi que la disponibilité de services de piratage au-delà des utilisations légitimes des services de police et de lutte contre le terrorisme, présentent un risque important pour un large éventail d'organisations et d'individus.
To read the entire analysis, click here to download the report as a PDF.
Appendix A — Indicators of Compromise
asistentcomercialonline[.]com
barbequebros[.]com
boundbreeze[.]com
branchbreeze[.]com
c3p0solutions[.]com
caddylane[.]com
canylane[.]com
clockpatcher[.]com
colabfile[.]com
craftilly[.]com
dollgoodies[.]com
drivemountain[.]com
eclipsemonitor[.]com
flickerxxx[.]com
gamestuts[.]com
gettravelright[.]com
gilfonts[.]com
gobbledgums[.]com
humansprinter[.]com
infoshoutout[.]com
keep-badinigroups[.]com
lawrdo[.]com
longtester[.]com
mappins[.]io
mdundobeats[.]com
mountinnovate[.]com
mundoautopro[.]com
myprivatedrive[.]net
myread[.]io
mystudyup[.]com
nightskyco[.]com
noticiafamosos[.]com
noticiafresca[.]net
onelifestyle24[.]com
openstreetpro[.]com
pedalmastery[.]com
pinnedplace[.]com
remixspot[.]com
roadsidefoodie[.]com
secneed[.]com
secsafty[.]com
shopstodrop[.]com
speedbrawse[.]com
stableconnect[.]net
starryedge[.]com
statuepops[.]com
steepmatch[.]com
streamable-vid[.]com
strictplace[.]com
svcsync[.]com
themastersphere[.]com
traillites[.]com
trigship[.]com
unibilateral[.]com
updatepoints[.]com
wtar[.]io
zipzone[.]io
IP Addresses:
5[.]183[.]95[.]179
5[.]253[.]43[.]92
38[.]54[.]2[.]119
38[.]54[.]2[.]223
38[.]54[.]2[.]238
45[.]86[.]163[.]182
45[.]86[.]231[.]100
45[.]86[.]231[.]222
45[.]143[.]166[.]125
45[.]155[.]250[.]228
46[.]30[.]188[.]19
46[.]30[.]188[.]161
46[.]30[.]189[.]26
46[.]246[.]96[.]198
51[.]195[.]49[.]222
79[.]110[.]52[.]192
79[.]141[.]164[.]56
85[.]17[.]9[.]18
89[.]150[.]57[.]192
89[.]150[.]57[.]234
128[.]199[.]39[.]196
138[.]199[.]153[.]155
141[.]164[.]37[.]66
146[.]70[.]81[.]33
146[.]70[.]88[.]93
154[.]205[.]146[.]159
158[.]247[.]205[.]35
158[.]247[.]222[.]189
158[.]247[.]254[.]22
162[.]19[.]214[.]208
169[.]239[.]128[.]22
169[.]239[.]128[.]42
169[.]239[.]128[.]46
169[.]239[.]128[.]48
169[.]239[.]128[.]138
169[.]239[.]128[.]160
169[.]239[.]128[.]174
169[.]239[.]128[.]182
169[.]239[.]129[.]57
169[.]239[.]129[.]63
169[.]239[.]129[.]77
169[.]239[.]129[.]100
169[.]255[.]58[.]14
169[.]255[.]58[.]18
172[.]233[.]116[.]151
185[.]158[.]248[.]139
185[.]158[.]248[.]146
185[.]167[.]60[.]33
185[.]236[.]202[.]161
185[.]243[.]114[.]170
188[.]166[.]0[.]154
193[.]29[.]56[.]52
193[.]29[.]59[.]176
193[.]168[.]143[.]206
193[.]243[.]147[.]42
195[.]54[.]160[.]224