Un abogado de derechos humanos de la provincia paquistaní de Baluchistán recibió un enlace sospechoso en WhatsApp de un número desconocido. Esta es la primera vez que un miembro de la sociedad civil del país ha sido atacado por el software espía Predator de Intellexa, afirmó Amnistía Internacional en un informe.
El enlace, dijo la organización sin fines de lucro, era un “intento de ataque de Predator basado en el comportamiento técnico del servidor de infección y en características específicas del enlace de infección único que eran consistentes con enlaces de 1 clic de Predator observados previamente”. Pakistán rechazó las acusaciones diciendo que “no había ni un ápice de verdad en ellas”.
Los hallazgos provienen de una nueva investigación conjunta publicada en colaboración con el periódico israelí Haaretz, el sitio de noticias griego Inside Story y el sitio de tecnología suizo Inside IT. Se basa en documentos y otros materiales filtrados de la empresa, incluidos documentos internos, materiales de ventas y marketing y vídeos de formación.
Intellexa es el fabricante de una herramienta de software espía mercenario llamada Predator, que, similar a Pegasus de NSO Group, puede recopilar en secreto datos confidenciales de los dispositivos Android e iOS de las víctimas sin su conocimiento. Las filtraciones muestran que Predator también se comercializó como Helios, Nova, Green Arrow y Red Arrow.
Esto a menudo implica el uso de diferentes vectores de acceso inicial, como plataformas de mensajería que explotan vulnerabilidades previamente desconocidas para instalar secretamente el software espía utilizando un enfoque de cero clic o de un solo clic. Por lo tanto, el ataque requiere abrir un enlace malicioso en el teléfono del objetivo para desencadenar la infección.
Si la víctima termina haciendo clic en el enlace explosivo, se carga un exploit del navegador para Google Chrome (en Android) o Apple Safari (en iOS) para obtener acceso inicial al dispositivo y descargar la carga útil principal del software espía. Según Google Threat Intelligence Group (GTIG), Intellexa ha sido vinculada a la explotación de los siguientes días cero, ya sea desarrollados internamente o adquiridos por empresas externas:
Una de esas cadenas de exploits de día cero de iOS implementada contra objetivos en Egipto en 2023 implicó el uso de CVE-2023-41993 y un marco llamado JSKit para realizar la ejecución de código nativo. GTIG dijo que observó el mismo exploit y marco utilizado en un ataque de abrevadero organizado por piratas informáticos respaldados por el gobierno ruso contra sitios web del gobierno de Mongolia, lo que plantea la posibilidad de que los exploits provinieran de terceros.
 |
| Folleto de marketing que presenta las capacidades del producto de software espía de Intellexa. |
“El marco JSKit está bien mantenido, admite una variedad de versiones de iOS y es lo suficientemente modular como para admitir varias omisiones del Código de autenticación de puntero (PAC) y técnicas de ejecución de código”, explicó Google. “El marco puede analizar binarios Mach-O en la memoria para resolver símbolos personalizados y, en última instancia, puede mapear y ejecutar manualmente binarios Mach-O directamente desde la memoria”.
 |
| Captura de pantalla de un ejemplo de interfaz de panel de Predator Delivery Studio (PDS) utilizada para administrar objetivos y ver los datos de monitoreo recopilados |
Después de explotar CVE-2023-41993, el ataque pasó a la segunda fase para salir del entorno limitado de Safari y ejecutar una carga útil de tercera etapa no confiable llamada PREYHUNTER mediante la explotación de CVE-2023-41991 y CVE-2023-41992. PREYHUNTER consta de dos módulos:
- Watcher monitorea los fallos, garantiza que el dispositivo infectado no muestre un comportamiento sospechoso y finaliza el proceso de explotación si se detectan dichos patrones.
- Ayudante que se comunica con las otras partes del exploit a través de un socket Unix y proporciona enlaces para grabar conversaciones VoIP, ejecutar un registrador de teclas y capturar imágenes de la cámara.
También se dice que Intellexa está utilizando un marco personalizado que facilita la explotación de varias vulnerabilidades V8 en Chrome, a saber, CVE-2021-38003, CVE-2023-2033, CVE-2023-3079, CVE-2023-4762 y CVE-2025-6554, y se observó un abuso de CVE-2025-6554 en junio. 2025 en Arabia Saudita.
Una vez instalada, la herramienta recopila datos de aplicaciones de mensajería, llamadas, correos electrónicos, ubicaciones de dispositivos, capturas de pantalla, contraseñas y otra información en el dispositivo y la filtra a un servidor externo ubicado físicamente en el país del cliente. Predator también viene con la capacidad de activar el micrófono del dispositivo para grabar silenciosamente sonidos ambientales y usar la cámara para tomar fotografías.
La compañía, junto con algunos ejecutivos clave, enfrentó sanciones estadounidenses el año pasado por el desarrollo y distribución de la herramienta de vigilancia y la interferencia con las libertades civiles. A pesar de los continuos informes públicos, Insikt Group de Recorded Future anunció en junio de 2025 que había descubierto actividad relacionada con Predator en más de una docena de países, principalmente en África, lo que indica una “creciente demanda de herramientas de software espía”.
Quizás la revelación más significativa es que los empleados de Intellexa supuestamente tenían la capacidad de acceder de forma remota a los sistemas de vigilancia de al menos algunos de sus clientes, incluidos aquellos ubicados en las instalaciones de sus clientes gubernamentales, utilizando TeamViewer.
“El hecho de que, al menos en algunos casos, Intellexa parezca haber conservado la capacidad de acceder de forma remota a los registros de clientes de Predator -lo que permite a los empleados de la empresa ver detalles de las operaciones y objetivos de vigilancia- plantea dudas sobre sus propios procesos de debida diligencia en materia de derechos humanos”, dijo Jurre van Bergen, tecnólogo del Laboratorio de Seguridad de Amnistía Internacional, en un comunicado de prensa.
“Si se descubre que una empresa mercenaria de software espía está directamente involucrada en el funcionamiento de su producto, esto podría dar lugar a que se la considere responsable según las normas de derechos humanos en caso de uso indebido y violaciones de los derechos humanos causadas por el uso de software espía”.
El informe también ha destacado los diferentes vectores de entrega que Intellexa utiliza para activar la apertura del enlace malicioso sin que el objetivo tenga que hacer clic manualmente en él. Estos incluyen vectores tácticos como Triton (anunciado en octubre de 2023), Thor y Oberon (ambos actualmente desconocidos), así como vectores estratégicos desplegados de forma remota a través de Internet o una red celular.
Los tres vectores estratégicos se enumeran a continuación:
- Mars y Jupiter son sistemas de inyección de red que requieren la colaboración entre el cliente de Predator y el operador móvil o proveedor de servicios de Internet (ISP) de la víctima para llevar a cabo un ataque Adversario en el Medio (AitM) esperando a que el objetivo abra un sitio web HTTP no cifrado para activar la infección, o cuando el objetivo visita un sitio web HTTPS nacional que ya ha sido interceptado con certificados TLS válidos.
- Aladdin, que explota el ecosistema de publicidad móvil para llevar a cabo un ataque sin clic que se activa simplemente al ver el anuncio especialmente diseñado. Se cree que el sistema ha estado en desarrollo desde al menos 2022.
“El sistema Aladdin infecta el teléfono del objetivo al obligar a que se muestre en el teléfono del objetivo un anuncio malicioso creado por el atacante”, dijo Amnistía. “Este anuncio malicioso podría aparecer en cualquier sitio web que publique anuncios”.
 |
| Mapeo del sitio web corporativo de Intellexa vinculado al cluster checo |
Google dijo que el uso de anuncios maliciosos en plataformas de terceros era un intento de abusar del ecosistema publicitario para tomar huellas dactilares de los usuarios y redirigir a los usuarios específicos a los servidores de entrega de exploits de Intellexa. También dijo que trabajó con otros socios para identificar las empresas que Intellexa creó para crear los anuncios y cerró esas cuentas.
En un informe separado, Recorded Future dijo que había descubierto dos empresas llamadas Pulse Advertise y MorningStar TEC que parecen estar activas en el sector publicitario y probablemente estén vinculadas al vector de infección Aladdin. Además, hay evidencia de que los clientes de Intellexa con sede en Arabia Saudita, Kazajstán, Angola y Mongolia todavía se comunican con la infraestructura de múltiples niveles de Predator.
“Por el contrario, los clientes de Botswana, Trinidad y Tobago y Egipto cesaron las comunicaciones en junio, mayo y marzo de 2025, respectivamente”, dijo. “Esto podría indicar que estas empresas dejaron de utilizar el software espía Predator en ese momento; sin embargo, también es posible que simplemente cambiaron o migraron la configuración de su infraestructura”.
About The Author
