A tutta sorveglianza: Predator torna più potente che mai grazie a nuove vulnerabilità zero-day

Malgrado le difficoltà geopolitiche significative, il settore degli spyware mercenari resta una minaccia adattabile e persistente; in questo contesto, il noto fornitore Intellexa prosegue l’espansione del suo arsenale.

Un recente rapporto del Google Threat Intelligence Group (GTIG) mette in luce come l’azienda, famosa per il suo spyware “Predator”, non soltanto stia resistendo alle sanzioni imposte dagli Stati Uniti, ma stia anche attivamente aggirando le restrizioni per continuare a prosperare, grazie allo sfruttamento di un flusso costante di vulnerabilità zero-day.

Intellexa si è costruita una reputazione formidabile nel mercato della sorveglianza. Secondo l’analisi di Google , il fornitore ha “consolidato la sua posizione come uno dei fornitori di spyware più prolifici, se non il più prolifico, nello sfruttamento delle vulnerabilità zero-day contro i browser mobili”.

La portata delle loro operazioni è impressionante. Dal 2021, Google ha monitorato circa 70 vulnerabilità zero-day utilizzate in circolazione. Di queste, “Intellexa è responsabile di 15 vulnerabilità zero-day uniche, tra cui Remote Code Execution (RCE), Sandbox Escape (SBX) e Local Privilege Escalation (LPE)”.

Il rapporto descrive in dettaglio una sofisticata catena di exploit iOS, denominata internamente da Intellexa come “smack”, che è stata utilizzata contro obiettivi in Egitto per installare lo spyware Predator.

Questa catena si basava su un framework che Google chiama “JSKit”. Questo toolkit modulare è progettato per eseguire codice nativo sui dispositivi Apple analizzando i binari Mach-O direttamente in memoria. È interessante notare che i ricercatori di Google ritengono che Intellexa probabilmente non lo abbia sviluppato autonomamente.

“Riteniamo che Intellexa abbia acquisito i propri exploit iOS RCE da un’entità esterna, poiché abbiamo visto questo stesso identico framework JSKit utilizzato da altri fornitori di sistemi di sorveglianza e da aggressori sostenuti dal governo dal 2021”, afferma il rapporto.

Una volta compromesso il dispositivo, viene distribuito un payload tracciato come PREYHUNTER. Questa fase è composta da moduli “helper” e “watcher” che garantiscono che l’impianto rimanga nascosto durante l’esecuzione di attività di sorveglianza. Utilizzando framework di hooking personalizzati (“DMHooker” e “UMHooker”), il malware può registrare chiamate VOIP, eseguire keylogger e acquisire foto.

La portata di Intellexa si estende oltre gli iPhone. Il gruppo ha anche implementato framework personalizzati per sfruttare Chrome, prendendo di mira specificamente il motore JavaScript V8. Più di recente, nel giugno 2025, sono stati osservati mentre sfruttavano CVE-2025-6554 in Arabia Saudita, un errore di confusione di tipo che ha permesso loro di violare oggetti di memoria.

In risposta a queste scoperte, Google sta adottando misure dirette per avvisare le potenziali vittime. “Abbiamo deciso di inviare simultaneamente il nostro avviso di attacco, supportato dal governo, a tutti gli account presi di mira noti associati ai clienti di Intellexa dal 2023”, annuncia il rapporto.

Questa notifica di massa riguarda centinaia di utenti in Pakistan, Kazakistan, Angola, Egitto, Uzbekistan, Arabia Saudita e Tagikistan, segnalando una forte escalation nella lotta del gigante della tecnologia contro il commercio di spyware.

L'articolo A tutta sorveglianza: Predator torna più potente che mai grazie a nuove vulnerabilità zero-day proviene da Red Hot Cyber.

🔎 CVE-2025-14191: HIGH severity buffer overflow in UTT 进取 512W (≤1.7.7-171114). Remote exploitation possible—public exploit, no vendor patch! Segment, restrict access, and monitor urgently. https://radar.offseq.com/threat/cve-2025-14191-buffer-overflow-in-utt-512w-f886a277 #OffSeq #Vulnerability #Infosec #CVE

🚨 CVE-2025-14188: HIGH severity RCE in UGREEN DH2100+ NAS (≤5.3.0.251125) via /v1/file/backup/create. No patch—restrict access, monitor traffic, audit logs, and segment devices! Details: https://radar.offseq.com/threat/cve-2025-14188-command-injection-in-ugreen-dh2100-7ececf1e #OffSeq #Vulnerability #Infosec #NASecurity

⚠️ HIGH severity SSRF (CVE-2025-26487) in Infinera MTC-9 R22.1.1.0275 — attackers could abuse server requests for lateral movement. Monitor for updates; mitigate exposure! https://radar.offseq.com/threat/cve-2025-26487-cwe-918-server-side-request-forgery-2e6cf9cf #OffSeq #SSRF #Vuln #Infinera

Defer to @todb on this as CVE expert(tm) but shouldn't CVE-2025-66516 have been an update of CVE-2025-54988? It's the same vulnerability.

https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k

Infinera yikes.

https://www.cve.org/CVERecord?id=CVE-2025-27020

Improper configuration of the SSH service in Infinera MTC-9 allows an unauthenticated attacker to execute arbitrary commands and access data on file system\n\n.\n\n\nThis issue affects MTC-9: from R22.1.1.0275 before R23.0.

and

https://www.cve.org/CVERecord?id=CVE-2025-27019

Remote shell service (RSH) in Infinera MTC-9 version R22.1.1.0275 allows\n an attacker to utilize password-less user accounts and obtain \nsystem access by activating a reverse shell.This issue affects MTC-9: from R22.1.1.0275 before R23.0.