여전히 활동 중이며, 새로운 고객 및 기업 연결이 확인된 Predator
Executive Summary
지난 2년 동안 Insikt Group과 다른 단체들의 대대적으로 대중에게 노출되고 미국 정부가 Predator 모바일 스파이웨어의 배후 조직인 Intellexa Consortium을 제재하면서 Insikt Group은 Predator 관련 활동이 크게 감소한 것을 관찰했습니다. 이러한 명백한 감소는 미국의 제재, 대중에 대한 노출, 영국과 프랑스가 주도하는 폴 몰(Pall Mall) 프로세스와 같이 스파이웨어 확산을 억제하기 위한 광범위한 국제적 노력이 결합되어 Intellexa의 운영에 지속적인 타격을 입혔는지에 대한 의문을 불러일으켰습니다. 그러나 Predator 활동은 멈추지 않았으며, 최근 몇 달 동안 Insikt Group은 운영자들이 계속 버티고 있음을 반영하는 활동 재개를 관찰하였습니다. Insikt Group이 이전에 파악한 국가의 알려진 Predator 운영자와 연결된 인프라가 대부분이지만, 이전에 스파이웨어와 공개적으로 연결된 적이 없는 국가인 모잠비크에서 새로운 고객도 확인되었습니다. 이는 Predator가 아프리카에서 매우 활발하게 활동하고 있으며, 확인된 고객의 절반 이상이 아프리카 대륙에 있다는 더 광범위한 관찰과 일치합니다. 또한 Insikt Group은 상위 계층인 Predator 인프라와 이전에 Intellexa 컨소시엄과 연관된 체코 엔터티 간의 연결 고리를 발견했습니다.
Predator와 같은 스파이웨어의 배포가 합법적인 범죄 수사용 또는 대테러를 위한 사용을 넘어설 경우, 직접적인 표적과 관련 개인 모두의 개인정보, 법적 권리, 신체적 안전에 심각한 위협을 가합니다. 대부분의 알려진 악용 사례가 시민 사회와 정치 활동가를 표적으로 삼았지만, 스파이웨어 악용 기록이 있는 지역의 개인과 조직은 분야에 관계없이 경계를 늦추지 말아야 합니다. Predator의 고가 라이선스 모델을 고려하면 Predator는 일반적으로 고가치의 전략적 목표에만 사용됩니다. 이로 인해 자신이 보유할 수 있는 정보로 인해 정치인, 기업 임원 및 민감한 위치에 있는 사람들이 특히 취약해집니다. 용병 스파이웨어 개발자의 활동을 억제하기 위한 전 세계적인 노력을 반영하듯, 현재 여러 EU 국가에서 정치적 반대파 인사에 대한 스파이웨어 사용 조사를 진행하는 중입니다.
Insikt Group의 이전 Predator 보고서에 명시된 대로, 방어자는 권장 모범 사례를 따라야 합니다. 여기에는 개인 장치와 회사 장치를 분리하여 보관하고, 휴대폰을 정기적으로 업데이트하며, 주기적인 장치 재부팅 권장(그러나 장치 재부팅으로 항상 Predator를 완전히 제거하지 않을 수도 있음), 잠금 모드 사용, 모바일 장치 관리(MDM) 시스템 구현이 포함됩니다. 또한 직원들의 보안 인식 교육에 투자하고 데이터 노출을 최소화하는 문화를 조성하는 것은 스피어피싱 공격이 성공할 위험을 줄이고 침해 발생 시 데이터 도난을 제한하는 데 필수적입니다.
Insikt Group은 지속적인 수요와 기업 수익성에 의해 용병 스파이웨어 시장이 계속 확장될 것으로 예상합니다. 이러한 성장에는 지속적인 혁신이 함께 진행될 가능성이 높으며, 경쟁이 치열해지고 대상의 IT 보안이 강화됨에 따라 새로운 제품과 기술의 개발이 촉진될 것입니다. 예를 들어, 방어자가 전체 취약점 클래스를 제거하기 위해 노력하는 동안, 스파이웨어 운영자는 탈취한 자격 증명을 통해 접근하는 클라우드 백업과 같은 대안을 표적으로 삼거나 새로운 배포 방법을 사용하여 적응할 수 있습니다. 이러한 도구가 확산되고 기술이 발전함에 따라 피해자의 범위가 시민 사회를 넘어 정치적 담론에 영향을 미치고 추가적인 법적 대립을 촉발할 가능성이 있습니다. 최근 법원이 기술 기업의 손을 들어주며 스파이웨어 공급업체에 불리한 판결을 내린 것이 선례가 되어, 더 많은 기업이 플랫폼 악용에 적극적으로 이의를 제기하도록 장려할 수 있습니다. Insikt Group은 스파이웨어 공급업체들이 제재나 탐지를 피하기 위해 복잡한 기업 구조를 계속 활용할 것이며, 특정 지역에 맞춰 운영을 점점 더 세분화할 것으로 예상합니다. 이러한 경향은 종종 생태계의 발칸화(분열되고 단절되는 현상)로 설명됩니다.
주요 연구 결과
- Insikt Group은 Predator와 관련된 새로운 인프라를 식별했으며, 이는 대중에 공개되고 국제 제재와 정책 개입에도 불구하고 계속 운영되고 있음을 나타냅니다.
- 새로 확인된 인프라는 피해자를 대상으로 하는 1급 서버뿐만 아니라, 여러 국가의 Predator 운영자와 연결될 가능성이 있는 상위 계층 구성 요소도 포함되어 있습니다.
- Predator 인프라 대부분은 이전 보고와 일치하지만 Predator 운영자들은 탐지를 피하기 위해 설계된 변경 사항을 도입했으며, 이는 Insikt Group이 이전 보고에서 언급한 패턴입니다.
- Insikt Group은 지난 12개월 동안 여러 국가에서 Predator 관련 활동을 탐지했으며, 모잠비크에서 Predator 운영자의 존재가 의심되는 사례를 최초로 보고했습니다.
- Insikt Group은 체코 탐사 전문 언론사를 통하여 Predator 인프라의 구성 요소를 이전에 Intellexa Consortium과 연관되었던 체코 엔터티와 연결지었습니다.
배경
프레데터는 안드로이드 및 아이폰 기기를 대상으로 하는 고도로 정교한 용병형 스파이웨어로, 2019년부터 활동해오고 있습니다. Cytrox에서 처음 개발되어 현재 Intellexa 연합체 하에서 운영 중인 Predator는 유연성과 은밀성을 위해 설계되었습니다. 감염된 장치에 최소한의 증거만을 남기며, 이로 인해 악용에 대한 외부 조사가 특히 어려워집니다. 배포된 후, Predator는 피해자의 인지 없이 기기의 마이크, 카메라 및 모든 데이터(연락처, 메시지, 사진, 동영상 등)에 완전한 접근 권한을 제공합니다. 스파이웨어의 모듈형 설계는 Python을 기반으로 하여 운영자가 장치를 재침투하지 않고도 원격으로 새로운 기능을 추가할 수 있도록 합니다.
프레데터는 "1-클릭" 및 "제로-클릭" 공격 벡터를 통해 전달될 수 있습니다. "" 1-클릭" 공격은 사용자의 상호작용이 필요한 악성 링크를 포함한 사회공학 메시지에 의존합니다(1, 2, 3). 반면, "에서 설명된 "Predator Files에 언급된 제로클릭" 공격은 대상의 어떤 행동도 필요로 하지 않는 기술, 예를 들어 네트워크 주입이나 근접 기반 방법을 사용합니다. 그러나 현재까지 Predator가 NSO 그룹의 Pegasus와 같은 완전히 원격으로 실행되는 "제로클릭" 취약점을 악용한 사례는 확인되지 않았습니다. 이러한 취약점은 사용자의 상호작용 없이 메시징 앱을 통해 기기를 침해할 수 있습니다(예: FORCEDENTRY 또는 BLASTPASS).
지난 2년간 Insikt Group은 안골라, 아르메니아, 보츠와나, 콩고 민주 공화국, 이집트, 인도네시아, 카자흐스탄, 몽골, 모잠비크, 오만, 필리핀, 사우디아라비아, 트리니다드 토바고 등 10여 개 국가에서 Predator 운영자로 의심되는 인물들을 식별했습니다(1, 2). 특히, 이 보고서는 모잠비크를 의심스러운 고객으로 지목한 첫 번째 공개 보고서입니다. 프레데터는 표면상으로는 반테러 및 법 집행 목적으로 마케팅되고 있지만, 이전 보도 자료들은 이 무기가 시민 사회 활동가, 언론인, 활동가, 정치인 등을 대상으로 배치된 명확한 패턴을 기록해 왔습니다(1, 2, 3, 4). 이전 보고서에서 언급된 이러한 사례들은 mercenary spyware(용병형 스파이웨어)인 Predator의 광범위한 사용, 탐지의 어려움, 그리고 피해자 지원의 한계로 인해 전체적인 인권 침해의 극히 일부만을 반영할 가능성이 높습니다. 국경을 넘어선 표적 공격의 위험성을 강조하는 것이 중요합니다. 이 위험은 베트남과 연관된 운영자가 유럽 연합(EU) 관계자와 유럽 의회 의원들을 표적으로 삼은 Predator 사례뿐만 아니라, Pegasus와 같은 다른 용병 스파이웨어에서도 관찰되었습니다.
프레데터의 인프라와 기술에 대한 공개 보고가 증가하고 인텔렉사의 기업 구조에 대한 관심이 높아졌음에도 불구하고, 프레데터의 활동은 여전히 활발히 진행되고 있습니다. 이 같은 지속성은 미국 제재,유럽연합(EU) 결의안, 인텔렉사 계열사에 대한 미국 비자 금지 조치, 팔 말 프로세스( Pall Mall Process)의 출범 등 다양한 조치에도 불구하고 계속되고 있습니다. 특히 아이폰을 대상으로 한 해킹 비용이 증가할 가능성이 높은 상황에서도 이 같은 추세는 이어지고 있습니다. 이는 스파이웨어 도구 수요의 증가를 반영하는 것으로 보입니다. 특히 수출 제한을 받는 국가들에서 이 현상이 두드러지며, 공개 보고와 보안 강화에 대응한 기술 혁신이 지속되고 있으며, 제재 회피와 추적 방지를 목적으로 설계된 복잡한 기업 구조가 증가하고 있습니다. 이 보고서의 후반부에서 논의되는 사례 중 하나는 체코의 한 단체로, 이 단체는 프레데터 작전과 연관된 것으로 추정됩니다.
위협 분석
1급 (C2) 서버
Insikt Group은 Predator와 관련이 있을 가능성이 높은 새로운 피해자 대상 1급(C2) 인프라를 식별했으며, 여기에는 도메인 및 IP 주소가 포함됩니다. 이러한 도메인 및 IP 주소의 구체적인 기능은 아직 확인되지 않았지만, Predator와 연결된 이전 인프라와 일치하는 페이로드 전달 및 악용 프로세스에 관여하고 있을 가능성이 높습니다. 부록 B의 표에는 지난 12개월 동안 관찰된 도메인 및 IP 주소가 제시되어 있습니다.
과거에 Predator와 연관된 도메인들은 Insikt Group이 과거에 보고한 바와 같이(1, 2), 자주 방문되는 지역 뉴스 매체 등 특정 조직을 사칭하는 경우가 많았습니다. 그러나 2023년 말부터 미디어의 주목과 공개 보고가 증가함에 따라 이 패턴은 점차 변화하기 시작했습니다. 최근에 생성된 도메인 이름은 일반적으로 두 개 이상의 서로 관련이 없어 보이는 영어 단어로 구성되어 있습니다. Insikt Group 일부 도메인이 특정 키워드를 재사용하는 것을 관찰했습니다. 예를 들어, boundbreeze[.]com and branchbreeze[.] com "를 공유하세요. breeze". 최근 몇 건의 사례에서 도메인 이름에 포르투갈어 단어가 사용되었으며, 이는 해당 도메인의 대상 언어를 반영한 것으로 추정됩니다. 또한, 특정 도메인에는 타겟팅에 대한 단서를 제공할 수 있는 키워드가 포함되어 있습니다. 예를 들어, keep-badinigroups[.]com, 이 용어는 이라크 쿠르드스탄의 바디난 지역에서 사용되는 바디니 방언과 관련된 커뮤니티나 그룹을 가리킬 수 있습니다.
식별된 도메인의 대부분은 등록 기관인 PDR Ltd(d/b/a PublicDomainRegistry.com)를 통해 등록되었으며 일반적으로 orderbox-dns[.]com 등과 연결된 네임 서버를 사용합니다. Predator 인프라는 역사적으로 AS62005, AS61138, AS44066과 같은 특정 자율 시스템 번호(ASN)를 선호해 왔으나, Insikt Group은 최근 Predator와 연관된 도메인이 AS42708, AS20473, AS44477 등 이전에는 Predator 활동과 연결되지 않았던 더 넓은 범위의 ASN에서 호스팅되고 있음을 관찰했습니다. 특히, Insikt Group은 상위 계층 Predator 인프라에 연결된 서버가 Stark Industries에 호스팅된 최소 한 가지 사례를 확인했습니다.
의심되는 인프라 탐지 회피 전략
지속적인 공개에 대응해 Predator 운영자들은 탐지를 회피하기 위해 다양한 전략을 채택했습니다. 이들은 이전에 보고된 것보다 더 다양한 서버 구성 방식을 사용하며, ASN의 다양성을 확대하고, 다층 구조 인프라에 추가 레이어를 도입하는 등 다양한 접근 방식을 포함합니다. 주목할 만한 전략 중 하나는 가짜 웹사이트를 사용하는 것으로, 이는 일반적으로 네 가지 주요 범주로 나뉩니다: 가짜 404 오류 페이지, 위조된 로그인 또는 등록 페이지, 건설 중임을 표시하는 사이트, 특정 단체(예: 컨퍼런스)와 연관된 것처럼 주장하는 웹사이트( 그림 1-4 참조).
다계층 인프라
Insikt Group이 이전에 보고한 바와 같이, Predator 고객들은 특정 개인이나 단체를 표적으로 삼기 위해 설계된 것으로 추정되는 다층 구조의 인프라 네트워크를 계속 사용하고 있습니다( 그림 5 참조). 이 네트워크는 Amnesty의 2023년 10월 보고서에서 제시된 고위급 아키텍처와 매우 유사하지만, 그 이후로 계속 발전해 왔습니다. 2024년 3월에 Insikt Group이 보고한 Predator의 다층 구조 인프라 초기 버전에는 3개의 계층만 포함되어 있었습니다. 현재 설계에 네 번째 층을 추가한 것은 Predator를 배치한 것으로 의심되는 국가들의 식별을 더욱 어렵게 만들기 위한 것으로 추정됩니다.
Insikt Group은 Recorded Future® Network Intelligence를 활용하여, 1급 서버가 전송 제어 프로토콜 (TCP) 포트 10514를 사용하여 전용 2급 업스트림 가상 사설 서버 (VPS) IP 주소와 지속적으로 통신하는 것을 관찰했습니다. 이러한 업스트림 서버는 익명화 홉 포인트로 기능할 가능성이 높아, 1급 서버를 개별 Predator 고객과 직접 연결하기가 더 어려워집니다. 2급 및 3급 서버 간에도 TCP 포트 10514를 통한 통신이 일관되게 관찰됩니다. 그 후, 3급 서버는 트래픽을 4급 레이어로 중계하며, 4급 레이어는 Predator 고객의 통제를 받는 것으로 의심되는 고정 국내 ISP IP 주소에 해당하는 것으로 보입니다. 분석된 모든 사례에서 1급 서버와 해당 업스트림 서버가 단일 고객 전용인 것으로 나타났습니다.
1급에서 4급까지는 Predator 고객의 운영 인프라와 직접적으로 연결된 것으로 보이지만, Insikt Group은 5급으로 추적되는 추가적인 계층도 모니터링하고 있으며, 이는 Predator 관련 운영에서 중심적이지만 아직 명확하지 않은 역할을 하는 것으로 보입니다. 5급 서버는 이전에 공개적으로 Intellexa와 연관되어 있었으며, 체코 엔터티인 FoxITech s.r.o.에 연결되어 있었고 이는 이후 체코 엔터티와의 연결 섹션에서 자세히 설명합니다.
특정 국가 내에서 의심되는 Predator 사용
Insikt Group이 2024년 3월 Predator에 대한 보고를 시작한 이후, 전 세계 12개국 이상에서 스파이웨어 운영자로 의심되는 사람들이 확인되었습니다. 이러한 운영자 중 일부는 지난 12개월 동안 활동을 계속했지만, 일부 지역에서는 공개 보고로 인해 활동이 중단된 것으로 보이며, 이로 인해 현재 Predator 운영자의 수가 전반적으로 감소했습니다. 예를 들어, 콩고민주공화국(DRC)에서는 2024년 9월에 Insikt Group이 DRC 관련 활동에 대한 조사 결과를 발표한 지 약 2주 후에 작전이 중단된 것으로 보입니다. 마찬가지로, Recorded Future Network Intelligence에 따르면 앙골라의 의심되는 운영자는 같은 시기에 활동을 중단했다가 2025년 초에 활동을 재개했습니다. 또한, Insikt Group은 이 보고서 이전에는 Predator 운영자가 확인되지 않았던 모잠비크에서 Predator 사용의 증거를 발견했습니다.
모잠비크
Insikt Group은 Recorded Future Network Intelligence 및 기타 아티팩트를 바탕으로 표 1에 나열된 도메인을 모잠비크에 기반을 둔 Predator 운영자로 의심할 수 있는 높은 수준의 확신을 가지고 있습니다. 또한 Recorded Future 소스의 다양한 기술 지표를 기반으로 하여 mdundobeats[.]com, noticiafamosos[.]com, onelifestyle24[.]com 및 부록 B의 다른 사이트를 포함하여 을 포함한 여러 다른 도메인이 동일한 고객과 연결되어 있을 가능성이 높습니다. 특히, onelifestyle24[.]com을 호스팅하는 도메인을 제외하고 이러한 도메인과 관련된 모든 IP 주소는 동일한 두 개의 /24 CIDR 범위에 속합니다. Insikt Group은 Recorded Future Network Intelligence와 패시브 DNS 데이터를 사용하여 모잠비크의 Predator 운영자로 의심되는 대상이 2024년 상반기에 활동을 시작했으며, 이 글을 쓰는 시점에도 여전히 활동 중인 것으로 평가합니다.
표 1: 모잠비크에 위치한 Predator 고객과 연결된 도메인 및 IP 주소 (출처: Recorded Future)
현재까지 프레데터와 모잠비크를 연결하는 공개 보고서는 없지만, 이전 조사에서는 해당 국가가 다른 형태의 감시 활동과 연관되어 있다는 점이 밝혀졌습니다. 2021년, 2018년 시민 연구소(Citizen Lab) 의 분석을 바탕으로 한 보고서는 모잠비크가 페가수스(Pegasus) 운영자일가능성이 높다고 지적했습니다 (당시 모잠비크 내에서 페가수스 감염 사례는 확인되지 않았습니다). 또한, 2016년 모잠비크의 조사 언론사 Verdade가 발표한 보고서에 따르면, 정부는 시민들의 통신을 감시하기 위해 고급 감시 기술을 구매하고 사용 중이었다.
동유럽 국가와 관련된 추가 클러스터
식별된 도메인 및 IP 주소 중 상당수는 특정 국가의 특정 의심 운영자에게 귀속될 수 있지만, 다른 경우에는 책임 귀속이 더 복잡합니다. 기술 지표는 여러 도메인과 IP 주소를 별개의 클러스터로 연결하는 경우가 많으며, Insikt Group은 동일한 운영자가 이를 제어할 가능성이 높다고 평가합니다.
이러한 클러스터 중 하나는 활동 기간이 매우 짧았다는 점에서 주목할 만했습니다. Recorded Future Network Intelligence 이 클러스터는 2024년 8월부터 11월까지만 활성화되었으며, 아마도 Tier 1부터 Tier 4까지의 서버 2세트만으로 구성되었을 가능성이 높습니다. 이 클러스터는 그 짧은 특성으로 인해 테스트 및 개발 운영을 나타낼 수 있으며, 위치상 동유럽의 운영자와 연관될 수 있습니다. 현재 speedbrawse[.]com은 이 클러스터와 연관된 유일한 도메인입니다. Insikt Group 이 운영자의 활동이 갑자기 중단된 것은 2024년 9월에 Intellexa에 대한 제재가 강화된 것과도 관련이 있을 수 있다고 평가합니다.
체코 엔터티와의 연결
그리스 기자 타나시스 쿠카키스와 다른 인물들에 대한 프레데터 사용 조사 과정에서 그리스 최고검찰청은 금융경찰에 인텔렉사 컨소시엄과 관련된 기업들에 대한 보고서를 작성하도록 지시했습니다. 이 문서는 이후 체코의 조사 매체 Investigace.cz에 의해 입수되었습니다. 이 보고서는 Intellexa와 관련된 업체 목록을 포함한 공급업체 표를 포함하고 있으며, 이 중에는 Dvir Horef Hazan이라는 개인도 포함되어 있습니다. 그는 보고서에서 설명된 연결 관계와 함께 그림 6에 표시되어 있습니다.
체코 언론사의 조사 결과, 체코의 비스트로 소유주이자 프로그래머, 기업가이며 최소 8개의 체코 기업을 소유한 하잔(Hazan)이 마케팅, 컨설팅, IT 자문 분야에 특화된 4개 기업을 포함해 총 8개의 기업을 소유한 것으로 확인되었습니다. 그는 Intellexa에서 근무한 것으로 알려졌습니다. 그리스 경찰 보고서에 따르면, 인텔렉사(Intellexa)는 하잔(Hazan)과 그의 3개 회사(Zambrano Trade s.r.o., Hadastech s.r.o., 및 Shilo s.r.o.)에게 구체적으로 명시되지 않은 서비스 대가로 약 €300만 유로를 송금했습니다. 또한, Importgenius 기록에 따르면 Hadastech(Hazan이 단독으로 운영하는 회사)는 2020년부터 2021년까지 신원 미상의 우크라이나 회사로부터 40건의 화물을 수입했으며, 이 화물은 모바일 전화기와 기타 네트워크 장비로 분류되었습니다. ""
추가 분석에 따르면 Hazan은 전 세계 고객에게 소프트웨어 개발, 사이버 보안, 인력 채용, 백오피스 지원 등 통합 IT 및 비즈니스 서비스를 제공한다고 주장하며 크르노프에 본사를 둔 체코 기업이자 Michal Ikonomidis가 소유한 FoxITech s.r.o.와도 간접적으로 연결되어 있는 것으로 나타났습니다. 좀 더 구체적으로 말하자면, FoxITech s.r.o.는 Hazan의 회사 중 하나가 소유한 건물에 본사를 두고 있으며, 이 건물에는 앞서 언급한 다른 Hazan 소유의 사업체들도 있습니다. Hazan과 FoxITech s.r.o. 간의 이러한 연관성은 소셜 미디어에 따르면 Hazan과 Ikonomidis가 친구로 보이며, Hazan의 첫 번째 회사와 FoxITech s.r.o.가 동일한 대리인을 통해 공증인 사무실에 등록되었다는 사실로 더욱 입증됩니다. 게다가 FoxITech s.r.o.에 연결된 RIPE(Réseaux IP Européens) 항목에는 Hazan의 회사인 Shilo s.r.o.와 관련된 이메일 주소가 포함되어 있습니다. Investigace.cz에 따르면, FoxITech s.r.o.에 보낸 이메일은 Hazan의 회사 중 하나인 Bender ONE s.r.o.에 속한 주소에서 답변을 받았습니다.
FoxITech s.r.o.와 Predator 운영 간의 정확한 성격과 목적은 불분명하지만, Insikt Group은 4급 서버가 FoxITech s.r.o.에 연결된 5급 인프라와 정기적으로 통신하는 것을 관찰했습니다. 이로써 Predator의 다계층 인프라와 체코 엔터티 간의 연결이 구축되어, Predator 인프라와 Intellexa Consortium 관련 엔터티 간의 최초의 기술적 연결이 성립되었습니다.
특히, Investigace.cz는 이전에 체코에서 Cytrox에 대해 보도하며, 해당 기업의 등록된 이사가 오스트라바 근처 마을의 퇴직자이며 Intellexa에 대해 알지 못했다고 밝혔습니다. 그녀는 근처에 사는 가족 지인인 하잔을 알고 있었다. 또한, 그녀의 딸의 남편인 아모스 우잔은 2003년부터 2009년까지 에후드 올메르트 총리 재임 기간 동안 이스라엘 정부에서 보안 및 통신 관련 업무를 담당한 이스라엘인입니다. 올메르트는 이전에 2006년부터 2009년까지 인텔렉사(Intellexa)의 유급 자문위원으로 활동했음을 공개한 바 있습니다.
전망
Insikt Group은 Intellexa 및 관련 엔터티를 겨냥한 광범위한 언론의 주목과 제재에도 불구하고 모잠비크를 포함하여 Predator가 계속 사용되고 있음을 나타내는 증거를 발견했습니다. 최근 활동이 관찰되었지만, 이전 보고서에 비해 의심되는 운영자의 수가 감소한 것은 대중에 대한 노출, 제재 및 관련 조치로 인해 Intellexa에 운영 비용이 증가했을 가능성이 높다는 것을 시사합니다. 게다가, Predator 운영자들은 역사적으로 일관된 작전 방식을 유지해왔지만, 최근의 발견된 사항은 탐지를 피하기 위한 새로운 전술의 채택을 나타냅니다. 제재와 기타 압력은 기업 구조의 복잡성을 증가시키려는 노력을 촉진하여, 운영을 추적하고 방해하기 어렵게 만들 가능성이 큽니다. Predator 및 유사한 스파이웨어 제품의 지속적인 확산과 합법적인 법 집행 및 대테러 용도를 넘어서는 해킹 고용 서비스의 가용성은 다양한 조직과 개인에게 중대한 위험을 초래합니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
부록 A — 침해 지표
asistentcomercialonline[.]com
barbequebros[.]com
boundbreeze[.]com
branchbreeze[.]com
c3p0solutions[.]com
caddylane[.]com
canylane[.]com
clockpatcher[.]com
colabfile[.]com
craftilly[.]com
dollgoodies[.]com
drivemountain[.]com
eclipsemonitor[.]com
flickerxxx[.]com
gamestuts[.]com
gettravelright[.]com
gilfonts[.]com
gobbledgums[.]com
humansprinter[.]com
infoshoutout[.]com
keep-badinigroups[.]com
lawrdo[.]com
longtester[.]com
mappins[.]io
mdundobeats[.]com
mountinnovate[.]com
mundoautopro[.]com
myprivatedrive[.]net
myread[.]io
mystudyup[.]com
nightskyco[.]com
noticiafamosos[.]com
noticiafresca[.]net
onelifestyle24[.]com
openstreetpro[.]com
pedalmastery[.]com
pinnedplace[.]com
remixspot[.]com
roadsidefoodie[.]com
secneed[.]com
secsafty[.]com
shopstodrop[.]com
speedbrawse[.]com
stableconnect[.]net
starryedge[.]com
statuepops[.]com
steepmatch[.]com
streamable-vid[.]com
strictplace[.]com
svcsync[.]com
themastersphere[.]com
traillites[.]com
trigship[.]com
unibilateral[.]com
updatepoints[.]com
wtar[.]io
zipzone[.]io
IP Addresses:
5[.]183[.]95[.]179
5[.]253[.]43[.]92
38[.]54[.]2[.]119
38[.]54[.]2[.]223
38[.]54[.]2[.]238
45[.]86[.]163[.]182
45[.]86[.]231[.]100
45[.]86[.]231[.]222
45[.]143[.]166[.]125
45[.]155[.]250[.]228
46[.]30[.]188[.]19
46[.]30[.]188[.]161
46[.]30[.]189[.]26
46[.]246[.]96[.]198
51[.]195[.]49[.]222
79[.]110[.]52[.]192
79[.]141[.]164[.]56
85[.]17[.]9[.]18
89[.]150[.]57[.]192
89[.]150[.]57[.]234
128[.]199[.]39[.]196
138[.]199[.]153[.]155
141[.]164[.]37[.]66
146[.]70[.]81[.]33
146[.]70[.]88[.]93
154[.]205[.]146[.]159
158[.]247[.]205[.]35
158[.]247[.]222[.]189
158[.]247[.]254[.]22
162[.]19[.]214[.]208
169[.]239[.]128[.]22
169[.]239[.]128[.]42
169[.]239[.]128[.]46
169[.]239[.]128[.]48
169[.]239[.]128[.]138
169[.]239[.]128[.]160
169[.]239[.]128[.]174
169[.]239[.]128[.]182
169[.]239[.]129[.]57
169[.]239[.]129[.]63
169[.]239[.]129[.]77
169[.]239[.]129[.]100
169[.]255[.]58[.]14
169[.]255[.]58[.]18
172[.]233[.]116[.]151
185[.]158[.]248[.]139
185[.]158[.]248[.]146
185[.]167[.]60[.]33
185[.]236[.]202[.]161
185[.]243[.]114[.]170
188[.]166[.]0[.]154
193[.]29[.]56[.]52
193[.]29[.]59[.]176
193[.]168[.]143[.]206
193[.]243[.]147[.]42
195[.]54[.]160[.]224