Predator Still Active, with New Client and Corporate Links Identified
Executive Summary
過去2年間にわたり、Insikt Groupや他の団体による一連の大規模な公開に加え、Predatorモバイルスパイウェアの背後にある組織構造「Intellexaコンソーシアム」を標的とした米国政府の制裁措置により、Insikt GroupはPredator関連の活動が大幅に減少していることを確認していました。この顕著な減少は、米国の制裁や公開による影響、さらに英国とフランスが主導する「Pall Mallプロセス」など、スパイウェアの拡散を抑制する国際的な取り組みの組み合わせが、Intellexaの活動に持続的な打撃を与えたのではないかという疑問を呼び起こしました。しかし、Predatorの活動は完全には止まっておらず、ここ数か月でその活動が再び活発化していることが、Insikt Groupによって確認されています。これは、運用者が依然として執拗に活動を続けていることを示しています。確認されたインフラの多くは、以前Insikt Groupによって特定された国々の既知のPredator関連運用者に結び付けられていますが、モザンビークという、これまで公にPredatorとの関係が指摘されていなかった国の新たな顧客も特定されました。これは、Predatorがアフリカで非常に活発であり、特定された顧客の半数以上が同大陸に所在するという、より広範な観測結果とも一致しています。さらに、Insikt Groupは、Intellexaコンソーシアムと以前関連付けられていたチェコの企業と、ハイレベルなPredatorインフラとの関連も発見しました。
Predatorのようなスパイウェアが、正当な犯罪捜査や対テロ目的を超えて使用されることは、プライバシーや法的権利、さらには直接的な標的となる人物および関係者の身体的安全に対して深刻な脅威をもたらします。既知の濫用事例の多くは、市民社会や政治活動家を標的としてきましたが、スパイウェアの悪用履歴がある地域に所在する個人や団体は、業種にかかわらず警戒を怠らない必要があります。Predatorは高額なライセンスモデルで提供されているため、その利用は通常、高い戦略的価値を持つ標的に限られています。これにより、政治家や企業の経営幹部など、機密性の高い情報を保有する立場にある人物は、特に標的となりやすくなります。現在、複数のEU加盟国で、政治的反対派に対するスパイウェアの使用が調査されており、これは傭兵型スパイウェア開発者の活動を抑制しようとする世界的な取り組みの一環を反映しています。
Insikt GroupのこれまでのPredatorに関するレポートでも述べられているように、防御側は推奨されるベストプラクティスに従うべきです。これには、個人用デバイスと業務用デバイスを分けて使用すること、携帯電話を定期的にアップデートすること、定期的な端末の再起動を促すこと(ただし、これだけではPredatorを完全に排除できるとは限りません)、ロックダウンモードの活用、モバイルデバイス管理(MDM)システムの導入などが含まれます。さらに、従業員に対するセキュリティ意識向上のためのトレーニングに投資し、最小限のデータ開示を徹底する企業文化を育むことも、スピアフィッシング攻撃の成功リスクを低減し、万一の侵害時におけるデータ窃取を最小限に抑えるために重要です。
Insikt Groupは、傭兵型スパイウェア市場が今後も拡大を続けると予測しています。その背景には、持続的な需要と企業の収益性があります。標的側のITセキュリティ強化や競争の激化により、新たな製品や手法の開発が促進され、この市場の成長には今後も技術革新が伴うと見られます。たとえば、防御側が特定の種類の脆弱性を排除しようとする一方で、スパイウェアの運用者は、盗まれた認証情報を使ってアクセスされるクラウドバックアップなどの代替手段を標的にしたり、新たな展開手法を用いたりすることで適応する可能性があります。これらのツールが拡散し、技術が進化するにつれて、被害者の範囲は市民社会を超えて広がり、政治的な言論に影響を与えたり、さらなる法的対立を引き起こす可能性があります。最近では、テクノロジー企業がスパイウェアのベンダーに対して勝訴した裁判例も出ており、こうした判決が先例となって、他の企業も自社プラットフォームの悪用に対して積極的に異議を唱える動きが広がることが期待されます。Insikt Groupは、スパイウェアのベンダーが今後も制裁や追跡を回避するために複雑な企業構造を利用し続け、かつ特定の地域に特化した運用を強めると見ています。この傾向は「エコシステムのバルカン化」とも呼ばれています。
主な調査結果
- Insikt Groupは、Predatorに関連する新たなインフラを特定しており、これは公表や国際的な制裁、政策介入が行われているにもかかわらず、同スパイウェアの運用が継続していることを示しています。
- 新たに特定されたインフラストラクチャには、被害者向けのTier 1サーバーと、さまざまな国のPredatorオペレーターにリンクしている可能性がある高位層のコンポーネントの両方が含まれています。
- Predatorのインフラの多くはこれまでの報告と一致していますが、運用者は新たな検出回避策を導入しており、この傾向は以前のレポートでも指摘されていました。
- Insikt Groupは過去12か月間にわたり複数の国でPredator関連の活動を検出しており、モザンビークにおけるPredator運用者の存在を報告したのは今回が初となります。
- また、Predatorの一部インフラと、かつてチェコの調査報道機関によってIntellexaコンソーシアムと関連づけられたチェコ企業との接点も確認されました。
背景
Predatorは、高度な傭兵型スパイウェアであり、AndroidおよびiPhoneを標的とし、少なくとも2019年から活動が確認されています。もともとはCytroxによって開発され、現在はIntellexaアライアンスの下で運用されており、高い柔軟性とステルス性を備えています。そのため、感染したデバイスに痕跡をほとんど残さず、外部による濫用調査を非常に困難にしています。一度感染すると、Predatorは被害者に気づかれることなく、マイクやカメラ、連絡先、メッセージ、写真、動画など、端末上のすべてのデータへの完全なアクセスを提供します。また、Pythonに基づくモジュール式の設計により、運用者は端末を再攻撃することなく、リモートで新たな機能を追加することができます。
Predatorは、「1クリック攻撃」と「ゼロクリック攻撃」の両方の手法で配信される可能性があります。「1クリック」攻撃は、ユーザーの操作を必要とする悪意あるリンクを含むソーシャルエンジニアリングのメッセージに依存しています(1、2、3)。一方、「ゼロクリック」攻撃は『Predator Files』で説明されているように、ネットワークインジェクションや近接ベースの手法など、標的の操作を一切必要としない技術に基づいています。ただし、NSO GroupのPegasusのように、ユーザーの操作なしにメッセージアプリ経由で完全に遠隔から端末を侵害する「ゼロクリック」エクスプロイト(例:FORCEDENTRYやBLASTPASS)をPredatorが使用したと確認された事例は、現時点ではありません。
過去2年間で、Insikt Groupは、Predatorを運用していると疑われる事例を、アンゴラ、アルメニア、ボツワナ、コンゴ民主共和国、エジプト、インドネシア、カザフスタン、モンゴル、モザンビーク、オマーン、フィリピン、サウジアラビア、トリニダードトバゴなど十数か国で確認しています(1、2)。特筆すべきは、モザンビークがPredatorの顧客であると疑われたのは、今回が初めて公に報告された事例であるという点です。Predatorは表向きにはテロ対策や法執行目的で販売されているとされていますが、これまでの報告では、ジャーナリスト、活動家、政治家などの市民社会関係者を標的とした展開が継続的に行われてきたことが明らかになっています(1、2、3、4)。このような事例は、Predatorのような傭兵型スパイウェアが広く利用されている現状、検出が難しいこと、そして被害者への支援が限られていることを考慮すると、全体の濫用の中のごく一部に過ぎない可能性があります。Predatorにおいて、ベトナムに関連付けられた運用者がEU当局者や欧州議会議員を標的にした事例があるように、Predatorに限らず、Pegasusなどの他の傭兵型スパイウェアでも確認されているように、国境を越えた標的化のリスクが存在することを強調することは重要です。
Predatorのインフラストラクチャと技術に関する(脅威についての)レポート作成が増加し、Intellexaの企業構造への注目が高まっているにもかかわらず、Predatorの運用は依然として活発です。このような運用の継続は、米国による制裁、EUの決議、Intellexa関連者に対する米国のビザ禁止措置、Pall Mallプロセスの開始、そして特にiPhoneを対象としたエクスプロイトのコスト上昇の可能性といった対策が講じられた後もなお、続いています。この継続的な運用は、スパイウェアに対する需要の高まり、特に輸出制限のある国々での需要増加、公表内容やセキュリティ強化に対応した技術的革新、そして制裁回避や実行者の特定を困難にする複雑な企業構造の存在を反映していると考えられます。Predatorの運用に関与している可能性があるチェコの法人に関する具体例については、この報告の後半で取り上げられます。
脅威分析
Tier 1 (C2) サーバー
Insikt Groupは、新たにTier 1(C2)インフラストラクチャーのうち、Predatorに強く関連している可能性が高い被害者向けのインフラを特定しました。その中には、ドメインやIPアドレスが含まれています。これらのドメインやIPアドレスの具体的な機能はまだ確認されていませんが、ペイロードの配信やエクスプロイト(攻撃)プロセスに関与していると見られ、これまでに特定されてきたPredatorのインフラと一致する特徴を示しています。付録Bの表には、過去12か月間に観測されたドメインおよびIPアドレスが示されています。
これまでPredatorに関連付けられたドメインは、地元のニュースサイトなど、頻繁に訪問される実在の組織を装ったものが多く、これは過去にInsikt Groupが報告した事例と一致しています(1、2)。しかし、この傾向は2023年末以降、メディアによる注目や公的な報告の増加に伴い、徐々に変化し始めました。最近のドメインは、通常、2語以上の一見ランダムな英単語で構成されているのが一般的です。Insikt Groupは、これらのドメインの一部に特定のキーワードの再利用が見られることを確認しています。たとえば、boundbreeze[.]comとbranchbreeze[.]comはいずれも「breeze」という語を含んでいます。最近のいくつかの事例では、ドメインにポルトガル語の単語が含まれており、これは標的の言語を反映している可能性があります。さらに、keep-badinigroups[.]comのように、イラククルディスタンのバディナン地域で話されているバディニ方言に関連するコミュニティやグループを指している可能性があるなど、特定のドメインには標的に関する手がかりとなり得るキーワードが含まれていることもあります。
特定されたドメインの大半は、レジストラPDR Ltd. d/b/a PublicDomainRegistry.comを通じて登録されており、通常はorderbox-dns[.]comなどに関連付けられたネームサーバーを使用しています。Predatorのインフラはこれまで、AS62005、AS61138、AS44066といった特定の自律システム番号(ASN)を好んで使用してきましたが、Insikt Groupは、最近のPredator関連ドメインが、以前はPredatorの活動と関係がなかったAS42708、AS20473、AS44477を含む、より幅広いASN上でホストされていることを確認しました。特筆すべきは、Insikt Groupが、より上位のPredatorインフラに関連するサーバーがStark Industriesでホストされていた事例を少なくとも1件確認したことです。
疑わしいインフラ検知回避戦略
In response to ongoing public exposure, the operators behind Predator have adopted various tactics to evade detection. These involve using more varied server configurations than previously reported, expanding the diversity of ASNs, and introducing additional layers to their multi-tiered infrastructure, among other approaches. One notable strategy involves the use of fake websites, which generally fall into four main categories: fake 404 error pages, counterfeit login or registration pages, sites indicating that they are under construction, and websites purporting to be associated with specific entities, such as a conference (see Figures 1-4).
多層構造のインフラストラクチャ
Insikt Groupがこれまでに報告しているとおり、Predatorの顧客は現在も、多層構造のインフラネットワークを使用し続けており、これは特定の個人や組織を標的にすることを目的として設計されていると考えられます(図5参照)。このネットワークは、2023年10月にAmnestyが報告した上位レベルのアーキテクチャと非常によく似ていますが、それ以降も進化を続けています。Insikt Groupが2024年3月に報告した、以前のバージョンのPredatorの多層構造インフラは、3層構成のみで構成されていました。現在の設計において第4層が追加されていることは、おそらくPredatorを配備していると疑われる国の特定をさらに困難にすることを意図したものと見られます。
Recorded Future®のネットワークインテリジェンスを活用し、Insikt Groupは、Tier 1サーバーが一貫して、専用のTier 2上位仮想プライベートサーバー(VPS)のIPアドレスと、Transmission Control Protocol(TCP)ポート10514を用いて通信していることを確認しました。これらの上位サーバーは、匿名化の中継ポイントとして機能していると見られ、Tier 1サーバーとPredatorの個別顧客とを直接結びつけることを困難にしていると考えられます。また、TCPポート10514を介した通信は、Tier 2サーバーとTier 3サーバーの間でも一貫して確認されています。その後、Tier 3サーバーは、Tier 4層にトラフィックを中継しますが、このTier 4層は、Predatorの顧客が管理していると疑われる、国内の固定ISPのIPアドレスに対応しているようです。分析されたすべての事例において、Tier 1サーバーとそれに対応する上位サーバーは、いずれも単一の顧客専用であると見られました。
Predatorの顧客による運用インフラに直接関係しているのはTier 1からTier 4までの層であるように見受けられますが、Insikt Groupはこれに加えて、Predator関連の活動において中心的ではあるものの、依然として詳細が不明な役割を担っていると見られる追加の層(Tier 5)も監視しています。Tier 5のサーバーは、チェコ共和国に所在する企業FoxITech s.r.o.に関連付けられており、この企業は以前からIntellexaと公に関係があるとされてきました。この件については、「チェコ企業との関係」のセクションでさらに詳しく説明されています。
特定の国におけるPredator使用の疑い
Insikt Groupが2024年3月にPredatorに関する報告を開始して以来、世界中で10数か国以上にわたって、このスパイウェアの使用が疑われるオペレーターが確認されています。これらのオペレーターのうち複数は過去12か月間にわたって活動を継続している一方で、一部の地域では、報道などの影響により活動が停止したと見られ、現在活動しているPredatorオペレーターの数は全体として減少傾向にあります。たとえば、コンゴ民主共和国(DRC)では、Insikt GroupがDRC関連の活動に関する調査結果を2024年9月に発表してからおよそ2週間後に、Predatorの活動が停止したように見受けられます。同様に、アンゴラでも同時期にオペレーターの活動が停止したものの、Recorded Future Network Intelligenceによれば、2025年初頭には活動を再開したことが確認されています。さらに、Insikt Groupは、これまでPredatorのオペレーターが確認されていなかったモザンビークにおいて、Predatorの使用を示す証拠を新たに発見しました。
モザンビーク
さらに、Recorded Future Network Intelligenceおよびその他の証拠に基づき、Insikt Groupは、表1に記載されたドメインが、モザンビークに拠点を置くPredatorのオペレーターに関連している可能性が高いと高い信頼性で判断しています。また、mdundobeats[.]com、noticiafamosos[.]com、およびonelifestyle24[.]comを含む複数のドメイン、ならびに付録Bに掲載されたその他のドメインも、Recorded Futureの技術的指標に基づき、同じ顧客に関連している可能性が高いと考えられます。特に注目すべき点として、onelifestyle24[.]comをホストしているものを除き、これらのドメインに関連付けられているすべてのIPアドレスは、同一の2つの/24 CIDR範囲内に収まっています。Insikt Groupはさらに、Recorded Future Network IntelligenceとパッシブDNSデータの両方を使用して、モザンビークのプレデターオペレーター容疑者が2024年の前半に活動を開始し、執筆時点ではまだ活動していると評価しています。
表1: Domains and IP addresses linked to Predator customer located in Mozambique (Source: Recorded Future)
これまでのところ、Predatorがモザンビークと関係しているという公的な報告は存在していませんが、過去の調査では同国が他の監視手段と関係していたことが確認されています。2021年のある報告書では、2018年のCitizen Labの分析に基づき、モザンビークがPegasusのオペレーターであった可能性があると示唆されました(当時、モザンビーク国内でPegasusの感染が確認された事例はありませんでした)。さらに、2016年にはモザンビークの調査報道機関Verdadeによる報告書が、政府が国民の通信を監視するために高度な監視技術を取得し、使用していたことを明らかにしました。
東欧の国に関連すると見られる追加のクラスター
特定された多くのドメインおよびIPアドレスは、特定の国における疑わしいオペレーターに帰属できる一方で、一部のケースでは明確な帰属が難しい場合もあります。技術的な指標から、複数のドメインやIPアドレスが明確に区分されたクラスターとして関連付けられることが多く、Insikt Groupはこれらが同一のオペレーターによって管理されている可能性が高いと評価しています。
そのようなクラスターの1つは、活動期間が非常に短かったことから注目されています。Recorded Future Network Intelligenceによると、このクラスターは2024年8月から11月の間のみ活動しており、おそらくTier 1からTier 4サーバーの2セットで構成されていたと見られます。このクラスターは、活動期間の短さからテストや開発目的の運用を示唆している可能性があり、また、地理的な位置から東欧のオペレーターと関係している可能性もあります。現在、このクラスターに関連付けられているドメインはspeedbrawse[.]comのみです。Insikt Groupは、このオペレーターによる突然の活動停止が、2024年9月にIntellexaに対する制裁強化と関連している可能性があるとも評価しています。
チェコ企業との関係
ギリシャのジャーナリスト、Thanasis Koukakis氏らに対するPredatorの使用に関する調査の中で、ギリシャ最高裁判所の検察官は、Intellexaコンソーシアムに関連する企業についての報告書を作成するよう財務警察に指示しました。この報告書は後に、チェコの調査報道メディアInvestigace.czによって入手されました。この報告書には、Intellexaに関連する企業を記載した「サプライヤー一覧表」が含まれており、その中にはDvir Horef Hazanという人物の名前も記載されています。彼と、報告書内で言及されている関連性は、図6に示されています。
チェコの報道機関による調査によれば、Hazan氏はチェコでビストロを経営しつつ、プログラマーおよび起業家としても活動しており、少なくとも8社のチェコ企業のオーナーであるとされています。そのうち4社はマーケティング、コンサルティング、ITアドバイザリーを専門としており、彼はIntellexaに勤務していた疑いがあります。ギリシャ警察の報告によると、IntellexaはHazan氏および彼の3社(Zambrano Trade s.r.o.、Hadastech s.r.o.、Shilo s.r.o.)に対し、不明なサービスの対価として総額およそ300万ユーロを送金していたことが記録されています。さらにImportGeniusの記録によれば、Hadastech(Hazan氏が単独で代表を務める会社)は、2020年から2021年の間に、ウクライナの匿名企業から「携帯電話」や「その他のネットワーク機器」と記された40件の貨物を受け取っていたことが判明しました。
追加の調査では、Hazan氏がFoxITech s.r.o.とも間接的に関係していることが明らかになっています。FoxITech s.r.o.はチェコのクルノフに拠点を置く企業で、ソフトウェア開発、サイバーセキュリティ、人材採用、バックオフィス支援などの統合的なIT・ビジネスサービスを世界中の顧客に提供していると主張しています。特に、FoxITech s.r.o.の本社はHazan氏が所有する企業の建物内にあり、そこには他のHazan氏所有の企業も入居しています。このHazan氏とFoxITech s.r.o.との関係は、ソーシャルメディア上でHazan氏とオーナーのMichal Ikonomidis氏が友人関係にあると見られることや、Hazan氏の最初の会社とFoxITech s.r.o. 同じ代理人によって公証人事務所で登記されたことからも裏付けられています。さらに、RIPE(ヨーロッパIPネットワーク調整機関)の登録情報によれば、FoxITech s.r.o.に関連付けられたエントリの中には、Hazan氏の会社Shilo s.r.o.のメールアドレスも含まれていました。Investigace.czによると、FoxITech s.r.o.に送信されたメールに対しては、Hazan 氏の企業の1つであるBender ONE s.r.o.のアドレスから返信があったとされています。
FoxITech s.r.o.とPredatorの活動の正確な性質と目的は不明ですが、Insikt Groupは、Tier 4サーバーがFoxITech s.r.o.に関連するTier 5インフラストラクチャと定期的に通信していることを観察しました。これにより、Predatorの多層インフラストラクチャとチェコのエンティティとの間にリンクが確立され、PredatorインフラストラクチャとIntellexaコンソーシアムに関連する企業エンティティとの間で初めての技術的接続が確立されました。
注目すべき点として、Investigace.czは以前、チェコ共和国におけるCytroxに関する報道を行っており、その中で、同社の登記上の代表がオストラヴァ近郊の村に住む年金受給者であり、Intellexaの存在を知らなかったことを明らかにしました。彼女はHazan氏のことを近所に住む家族ぐるみの知人として知っていました。また、彼女の娘の夫であるAmos Uzan氏は、イスラエル人であり、Ehud Olmert氏が首相を務めていた2003年から2009年にかけて、政府のセキュリティおよび通信分野で働いていた人物です。Olmert氏は、2006年から2009年にかけてIntellexaの有償アドバイザーを務めていたことを以前に明かしています。
今後の展望
Insikt Groupは、広範な報道やIntellexaおよび関連企業に対する制裁にもかかわらず、モザンビークを含む地域でPredatorの継続的な使用を示す証拠を確認しています。最近も活動の痕跡が見られるものの、以前の報告と比較して疑われるオペレーターの数が減少していることから、報道や制裁、その他の措置がIntellexaに対して一定の運用上のコストを課している可能性が高いと考えられます。さらに、Predatorのオペレーターはこれまで一貫した手口(モードスオペランディ)を維持してきましたが、最新の調査結果では、検出を回避するために新たな戦術が採用されていることが明らかになっています。制裁やその他の外部圧力によって、企業構造の複雑化が進み、活動の追跡や妨害がさらに困難になることが予想されます。Predatorや同様のスパイウェア製品の継続的な拡散、ならびに正当な法執行機関や対テロ用途を超えたハッキング請負サービスの存在は、幅広い組織や個人にとって重大なリスクをもたらしています。
分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
付録A — 侵害を示す指標
asistentcomercialonline[.]com
barbequebros[.]com
boundbreeze[.]com
branchbreeze[.]com
c3p0solutions[.]com
caddylane[.]com
canylane[.]com
clockpatcher[.]com
colabfile[.]com
craftilly[.]com
dollgoodies[.]com
drivemountain[.]com
eclipsemonitor[.]com
flickerxxx[.]com
gamestuts[.]com
gettravelright[.]com
gilfonts[.]com
gobbledgums[.]com
humansprinter[.]com
infoshoutout[.]com
keep-badinigroups[.]com
lawrdo[.]com
longtester[.]com
mappins[.]io
mdundobeats[.]com
mountinnovate[.]com
mundoautopro[.]com
myprivatedrive[.]net
myread[.]io
mystudyup[.]com
nightskyco[.]com
noticiafamosos[.]com
noticiafresca[.]net
onelifestyle24[.]com
openstreetpro[.]com
pedalmastery[.]com
pinnedplace[.]com
remixspot[.]com
roadsidefoodie[.]com
secneed[.]com
secsafty[.]com
shopstodrop[.]com
speedbrawse[.]com
stableconnect[.]net
starryedge[.]com
statuepops[.]com
steepmatch[.]com
streamable-vid[.]com
strictplace[.]com
svcsync[.]com
themastersphere[.]com
traillites[.]com
trigship[.]com
unibilateral[.]com
updatepoints[.]com
wtar[.]io
zipzone[.]io
IP Addresses:
5[.]183[.]95[.]179
5[.]253[.]43[.]92
38[.]54[.]2[.]119
38[.]54[.]2[.]223
38[.]54[.]2[.]238
45[.]86[.]163[.]182
45[.]86[.]231[.]100
45[.]86[.]231[.]222
45[.]143[.]166[.]125
45[.]155[.]250[.]228
46[.]30[.]188[.]19
46[.]30[.]188[.]161
46[.]30[.]189[.]26
46[.]246[.]96[.]198
51[.]195[.]49[.]222
79[.]110[.]52[.]192
79[.]141[.]164[.]56
85[.]17[.]9[.]18
89[.]150[.]57[.]192
89[.]150[.]57[.]234
128[.]199[.]39[.]196
138[.]199[.]153[.]155
141[.]164[.]37[.]66
146[.]70[.]81[.]33
146[.]70[.]88[.]93
154[.]205[.]146[.]159
158[.]247[.]205[.]35
158[.]247[.]222[.]189
158[.]247[.]254[.]22
162[.]19[.]214[.]208
169[.]239[.]128[.]22
169[.]239[.]128[.]42
169[.]239[.]128[.]46
169[.]239[.]128[.]48
169[.]239[.]128[.]138
169[.]239[.]128[.]160
169[.]239[.]128[.]174
169[.]239[.]128[.]182
169[.]239[.]129[.]57
169[.]239[.]129[.]63
169[.]239[.]129[.]77
169[.]239[.]129[.]100
169[.]255[.]58[.]14
169[.]255[.]58[.]18
172[.]233[.]116[.]151
185[.]158[.]248[.]139
185[.]158[.]248[.]146
185[.]167[.]60[.]33
185[.]236[.]202[.]161
185[.]243[.]114[.]170
188[.]166[.]0[.]154
193[.]29[.]56[.]52
193[.]29[.]59[.]176
193[.]168[.]143[.]206
193[.]243[.]147[.]42
195[.]54[.]160[.]224