predator - RunkIntel

# Predator > [!danger] Spyware Mercenário - Alternativa ao Pegasus > O Predator e o principal spyware da **Intellexa** (anteriormente Cytrox), consorcio com raizes na Macedonia do Norte, Grecia e Israel. Responsavel por **15 dos aproximadamente 70 zero-days documentados pelo Google TAG desde 2021**, o Predator foi usado para espionar politicos de oposicao no Egito, Grecia, Bangladesh e outros paises. Em marco de 2024, o Departamento do Tesouro dos EUA (OFAC) sancionou a Intellexa e seus dirigentes por atividades de espionagem ilegal. ## Visão Geral [[predator|Predator]] e um implante de vigilancia mobile comercializado pela [[intellexa|Intellexa]] sob múltiplas marcas: Helios, Nova, Green Arrow (Android) e Red Arrow (iOS). O produto foi originalmente desenvolvido pela empresa norte-macedonica Cytrox, absorvida pela Intellexa após sua fundacao em 2019 por Tal Dilian, ex-oficial de inteligência israelense. Ao contrario do [[pegasus|Pegasus]] (NSO Group), que priorizou exploits zero-click, o Predator depende **quase exclusivamente de ataques "1-click"** - exigindo que a vitima clique em um link malicioso. Para compensar, a Intellexa desenvolveu sistemas de injecao de rede (**Mars** e **Jupiter**) que interceptam trafego HTTP e injetam o link malicioso transparentemente, simulando efeito zero-click sem necessitar de exploits zero-click propriamente ditos. | Campo | Detalhe | |-------|---------| | **Tipo** | Spyware comercial / Mobile implant | | **Plataformas** | iOS, Android | | **Arquitetura** | ALIEN (loader) + PREDATOR (agente) | | **Vendedor** | Intellexa / Cytrox | | **Preco** | ~EUR 13,6 milhões (20 infeccoes simultaneas) | | **Status** | Ativo (CVE-2025-6554 em junho 2025, Arabia Saudita) | ## Como Funciona **Arquitetura dual-componente ALIEN/PREDATOR:** O Predator opera em dois módulos intimamente acoplados no Android: - **ALIEN:** Reside em múltiplos processos privilegiados do Android (zygote64, system_server, installd, audioserver). Implementa a funcionalidade de baixo nivel - interceptação de chamadas VOIP, gravacao de audio, abuso de contextos SELinux para escalar privilegios entre processos. - **PREDATOR:** O agente principal, escrito em Python com módulos extensiveis. Recebe comandos do C2 e executa vigilancia de alto nivel - coleta de mensagens do WhatsApp, Signal, Telegram, keylogging, captura de camera, geolocalição. **Vetores de entrega:** - **1-click direto:** Link enviado por SMS/WhatsApp/email. Ao clicar, o navegador carrega a cadeia de exploit. - **Mars (injecao de rede):** Sistema instalado em ISPs/operadoras que intercepta trafego HTTP da vitima e injeta automaticamente o link de infecção quando ela acessa qualquer site HTTP. Nao requer nenhuma acao alem de navegar na web. - **Jupiter:** Extensao do Mars para HTTPS, usando certificados TLS válidos obtidos da operadora para realizar MITM em sites HTTPS domesticos. - **Triton (tatico):** Explora vulnerabilidades em baseband Samsung (Exynos) via radio 2G em alcance fisico de centenas de metros. **Cadeia de exploit iOS 2023 (Egito):** 1. MITM redireciona HTTP para servidor Intellexa (`c.betly[.]me` -> `sec-flare[.]com`) 2. CVE-2023-41993: RCE no motor JavaScript WebKit/Safari (framework JSKit) 3. CVE-2023-41991: Bypass de válidação de certificados CoreTrust - permite execução de binario com entitlements arbitrarios 4. CVE-2023-41992: LPE no kernel XNU via IPC use-after-free 5. Stage 3 (PREYHUNTER): dois módulos - Watcher (anti-análise, detecta modo desenvolvedor, debugger, proxies customizados) e Helper (C2 final, deploy do Predator) ## Attack Flow ```mermaid graph TB A["Selecao do alvo Número telefone / IP Perfil do dispositivo"] --> B["Mars - Injecao de rede ISP intercepta HTTP Redirect para servidor Intellexa"] B --> C["Exploit Safari CVE-2023-41993 RCE via WebKit JSKit Framework comprado de terceiro"] C --> D["CoreTrust bypass CVE-2023-41991 + CVE-2023-41992 Kernel LPE - XNU IPC UAF"] D --> E["PREYHUNTER Stage 3 Watcher - anti-análise Helper - C2 setup"] E --> F["ALIEN - Processos privilegiados zygote64 / system_server SELinux abuse"] F --> G["PREDATOR Agent Python Mensagens Signal/WhatsApp Keylogger / Camera / GPS"] G --> H["CNC Anonymization Network Multiplos proxies Servidor no pais cliente"] classDef target fill:#8e44ad,stroke:#7d3c98,color:#fff classDef mitm fill:#e74c3c,stroke:#c0392b,color:#fff classDef exploit fill:#e67e22,stroke:#d35400,color:#fff classDef payload fill:#2980b9,stroke:#1a5276,color:#fff classDef c2 fill:#27ae60,stroke:#1e8449,color:#fff class A target class B,C mitm class D,E exploit class F,G payload class H c2 ``` ## Timeline ```mermaid timeline title Predator - Evolução 2019-2025 2019 : Intellexa fundada por Tal Dilian : Cytrox integrada ao consorcio : Predator Android concluido (abril 2020) 2021 : Primeiro uso documentado publicamente : Egito - Ayman Nour (oposicao) : 5 zero-days Chrome e Android 2022 : Escandalo de espionagem na Grecia : Nikos Androulakis (eurodeputado) alvo : Persistência adicionada como add-on 2023 : Exploit iOS CVE-2023-41993/41991/41992 : Egypt - Ahmed Tantawi (candidato presidencial) : Google TAG / Citizen Lab publicam análise completa 2024 : OFAC sanciona Intellexa e dirigentes : Relatorio vazamento interno (Amnesty) : Malvertising como vetor documentado 2025 : CVE-2025-6554 Chrome - ativo em junho : Arabia Saudita como pais alvo confirmado ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | Exploit 1-click via Safari/Chrome | CVE-2023-41993, CVE-2023-4762 | | Acesso Inicial | MITM via ISP (Mars/Jupiter) | Injecao de redirect em HTTP/HTTPS | | Execução | Escape de sandbox kernel | CVE-2023-41991/41992 (iOS) | | Coleta | [[t1409-access-stored-application-data\|T1409]] | Signal, WhatsApp, Telegram, email | | Coleta | [[t1430-location-tracking\|T1430]] | GPS em tempo real | | Coleta | [[t1512-video-capture\|T1512]] | Camera ativada remotamente | | Evasão | Anti-análise | Watcher detecta debugger, AV, Frida, proxy customizado | | Evasão | Detecção de locale | Aborta se locale US ou IL (Israel) | | C2 | CNC Anonymization Network | Multiplos saltos para ocultar pais cliente | ## Relevância LATAM/Brasil A Intellexa operou em dezenas de paises, com foco em clientes governamentais. Embora nao hajá confirmacao pública de uso no Brasil, o modelo de negocio da empresa - venda direta a governos sem divulgacao - e o historico de abuso em contextos eleitorais (Egito, Grecia) tornam relevante o monitoramento de infraestrutura Predator para pesquisadores e jornalistas brasileiros. As sancoes do OFAC em 2024 dificultam (mas nao eliminam) a operação da Intellexa, especialmente para clientes em paises com relacoes comerciais com os EUA. > [!info] Indicadores de Compromisso > Citizen Lab e Amnesty International manteem listas atualizadas de dominios e infraestrutura Predator. Para jornalistas e ativistas de alto risco, o MVT (Mobile Verification Toolkit) e a ferramenta de triagem recomendada. ## Detecção e Defesa **Indicadores iOS:** - Processos PREYHUNTER: módulos `Watcher` e `Helper` em caminhos nao-padrao - Conexoes a dominios de staging da Intellexa (atualizados por Citizen Lab) - Comportamento anomalo de `SpringBoard` - supressao de notificacoes do sistema **Mitigacoes:** - Lockdown Mode (iOS 16+): Citizen Lab confirmou que bloqueia alguns vetores Predator - Nao acessar sites em HTTP em redes moveis (vetor Mars) - Atualizacoes imediatas de iOS/Android - cada patch inválida a cadeia de exploits - Para alvos de alto risco: trocar SIM e número regularmente, evitar redes de operadoras desconhecidas ## Referências - [1](https://blog.talosintelligence.com/mercenary-intellexa-predator/) Cisco Talos - Mercenary Mayhem: Análise técnica ALIEN/PREDATOR (2023) - [2](https://blog.google/threat-analysis-group/0-days-exploited-by-commercial-surveillance-vendor-in-egypt/) Google TAG - 0-days Intellexa Exploited in Egypt (2023) - [3](https://cloud.google.com/blog/topics/threat-intelligence/intellexa-zero-day-exploits-continue) Google GTIG - Intellexa Zero-Day Exploits Continue (2025) - [4](https://securitylab.amnesty.org/latest/2023/10/technical-deep-dive-into-intellexa-alliance-surveillance-products/) Amnesty International - Predator Files Technical Deep-Dive (2023) - [5](https://securitylab.amnesty.org/latest/2025/12/intellexa-leaks-predator-spyware-operations-exposed/) Amnesty International - Intellexa Leaks: Predator Operations Exposed (2025) - [6](https://thehackernews.com/2025/12/intellexa-leaks-reveal-zero-days-and.html) The Hacker News - Intellexa Leaks: Zero-Days e Malvertising (2025)