A tutta sorveglianza: Predator torna più potente che mai grazie a nuove vulnerabilità zero-day

Malgrado le difficoltà geopolitiche significative, il settore degli spyware mercenari resta una minaccia adattabile e persistente; in questo contesto, il noto fornitore Intellexa prosegue l’espansione del suo arsenale.

Un recente rapporto del Google Threat Intelligence Group (GTIG) mette in luce come l’azienda, famosa per il suo spyware “Predator”, non soltanto stia resistendo alle sanzioni imposte dagli Stati Uniti, ma stia anche attivamente aggirando le restrizioni per continuare a prosperare, grazie allo sfruttamento di un flusso costante di vulnerabilità zero-day.

Intellexa si è costruita una reputazione formidabile nel mercato della sorveglianza. Secondo l’analisi di Google , il fornitore ha “consolidato la sua posizione come uno dei fornitori di spyware più prolifici, se non il più prolifico, nello sfruttamento delle vulnerabilità zero-day contro i browser mobili”.

La portata delle loro operazioni è impressionante. Dal 2021, Google ha monitorato circa 70 vulnerabilità zero-day utilizzate in circolazione. Di queste, “Intellexa è responsabile di 15 vulnerabilità zero-day uniche, tra cui Remote Code Execution (RCE), Sandbox Escape (SBX) e Local Privilege Escalation (LPE)”.

Il rapporto descrive in dettaglio una sofisticata catena di exploit iOS, denominata internamente da Intellexa come “smack”, che è stata utilizzata contro obiettivi in Egitto per installare lo spyware Predator.

Questa catena si basava su un framework che Google chiama “JSKit”. Questo toolkit modulare è progettato per eseguire codice nativo sui dispositivi Apple analizzando i binari Mach-O direttamente in memoria. È interessante notare che i ricercatori di Google ritengono che Intellexa probabilmente non lo abbia sviluppato autonomamente.

“Riteniamo che Intellexa abbia acquisito i propri exploit iOS RCE da un’entità esterna, poiché abbiamo visto questo stesso identico framework JSKit utilizzato da altri fornitori di sistemi di sorveglianza e da aggressori sostenuti dal governo dal 2021”, afferma il rapporto.

Una volta compromesso il dispositivo, viene distribuito un payload tracciato come PREYHUNTER. Questa fase è composta da moduli “helper” e “watcher” che garantiscono che l’impianto rimanga nascosto durante l’esecuzione di attività di sorveglianza. Utilizzando framework di hooking personalizzati (“DMHooker” e “UMHooker”), il malware può registrare chiamate VOIP, eseguire keylogger e acquisire foto.

La portata di Intellexa si estende oltre gli iPhone. Il gruppo ha anche implementato framework personalizzati per sfruttare Chrome, prendendo di mira specificamente il motore JavaScript V8. Più di recente, nel giugno 2025, sono stati osservati mentre sfruttavano CVE-2025-6554 in Arabia Saudita, un errore di confusione di tipo che ha permesso loro di violare oggetti di memoria.

In risposta a queste scoperte, Google sta adottando misure dirette per avvisare le potenziali vittime. “Abbiamo deciso di inviare simultaneamente il nostro avviso di attacco, supportato dal governo, a tutti gli account presi di mira noti associati ai clienti di Intellexa dal 2023”, annuncia il rapporto.

Questa notifica di massa riguarda centinaia di utenti in Pakistan, Kazakistan, Angola, Egitto, Uzbekistan, Arabia Saudita e Tagikistan, segnalando una forte escalation nella lotta del gigante della tecnologia contro il commercio di spyware.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks