Un abogado de derechos humanos de la provincia paquistaní de Baluchistán recibió un enlace sospechoso en WhatsApp de un número desconocido, lo que supuso la primera vez que un miembro de la sociedad civil del país fue blanco del software espía Predator de Intellexa, Amnistía Internacional dijo en un informe.

El enlace, según la organización sin fines de lucro, es un «intento de ataque de Predator basado en el comportamiento técnico del servidor infectado y en las características específicas del enlace de infección de una sola vez, que eran consistentes con los enlaces de 1 clic de Predator observados anteriormente». Pakistán lo ha hecho despedido las acusaciones, afirmando que «no hay ni un ápice de verdad en ellas».

Los hallazgos provienen de una nueva investigación conjunta publicada en colaboración con el periódico israelí Haaretz, el sitio de noticias griego Inside Story y el sitio tecnológico suizo Inside IT. Se basa en documentos y otros materiales filtrados de la empresa, incluidos documentos internos, material de ventas y marketing y vídeos de formación.

Intellexa es el creador de una herramienta de spyware mercenario llamada Depredador que, al igual que Pegasus de NSO Group, puede recopilar de forma encubierta datos confidenciales de los dispositivos Android e iOS de los objetivos sin su conocimiento. Las filtraciones muestran que Predator también se ha comercializado como Helios, Nova, Green Arrow y Red Arrow.

A menudo, esto implica el uso de diferentes vectores de acceso inicial, como las plataformas de mensajería, que utilizan como armas defectos no revelados anteriormente para instalar sigilosamente el software espía, ya sea mediante un enfoque de cero o un clic. Por lo tanto, el ataque requiere que se abra un enlace malicioso en el teléfono del objetivo para desencadenar la infección.

Si la víctima acaba haciendo clic en el enlace con trampa explosiva, se carga una vulnerabilidad del navegador para Google Chrome (en Android) o Apple Safari (en iOS) para obtener acceso inicial al dispositivo y descargar la carga principal de software espía. Según datos de Google Threat Intelligence Group (GTIG), se ha vinculado a Intellexa con la explotación de los siguientes ataques de cero días, ya sea desarrollados internamente o adquiridos a entidades externas:

Una de esas cadenas de exploits de día cero de iOS que se utilizó contra objetivos en Egipto en 2023 implicó aprovechar el CVE-2023-41993 y un marco denominado JSKit para ejecutar código nativo. GTIG dijo que había observado el mismo exploit y el mismo marco utilizados en un ataque a un abrevadero orquestado por piratas informáticos respaldados por el gobierno ruso contra sitios web del gobierno mongol, lo que aumenta la posibilidad de que los exploits provengan de un tercero.

Folleto de marketing que presenta las capacidades del producto antispyware de Intellexa

«El marco JSKit está bien mantenido, es compatible con una amplia gama de versiones de iOS y es lo suficientemente modular como para admitir diferentes técnicas de ejecución de código y elusión del código de autenticación de puntero (PAC)», dijo Google explicó . «El marco puede analizar los archivos binarios de Mach-O en memoria para resolver símbolos personalizados y, en última instancia, puede mapear y ejecutar manualmente los archivos binarios de Mach-O directamente desde la memoria».

Captura de pantalla de un ejemplo de interfaz de panel de PDS (Predator Delivery Studio) utilizada para administrar objetivos y ver los datos de vigilancia recopilados

Tras la explotación del CVE-2023-41993, el ataque pasó a la segunda fase para salir del entorno limitado de Safari y ejecutar una carga útil de tercera fase poco fiable denominada PREYHUNTER, aprovechando los CVE-2023-41991 y CVE-2023-41992. PREYHUNTER consta de dos módulos:

  • Watcher, que monitorea los bloqueos, se asegura de que el dispositivo infectado no muestre ningún comportamiento sospechoso y procede a terminar el proceso de explotación si se detectan dichos patrones
  • Helper, que se comunica con las demás partes del exploit a través de un socket Unix e implementa ganchos para grabar conversaciones de VoIP, ejecutar un keylogger y capturar imágenes de la cámara

También se dice que Intellexa utiliza un marco personalizado que facilita la explotación de varios defectos del V8 en Chrome (es decir, CVE-2021-38003, CVE-2023-2033, CVE-2023-3079, CVE-2023-4762 y CVE-2025-6554), con el abuso del CVE-2025-6554 observado en junio de 2025 en Arabia Saudí.

Una vez instalada la herramienta, recopila datos de aplicaciones de mensajería, llamadas, correos electrónicos, ubicaciones de dispositivos, capturas de pantalla, contraseñas y otra información del dispositivo y los filtra a un servidor externo ubicado físicamente en el país del cliente. Predator también viene equipado con la posibilidad de activar el micrófono del dispositivo para capturar el audio ambiental de forma silenciosa y aprovechar la cámara para tomar fotos.

La empresa, junto con algunos ejecutivos clave, fue sometido a las sanciones estadounidenses del año pasado por desarrollar y distribuir la herramienta de vigilancia y socavar las libertades civiles. A pesar de la continua información pública, Insikt Group, de Recorded Future divulgado en junio de 2025, que detectó actividades relacionadas con Predator en más de una docena de países, principalmente en África, lo que sugiere una «creciente demanda de herramientas de software espía».

Quizás la revelación más significativa es que las personas que trabajaban en Intellexa supuestamente tenían la capacidad de acceder de forma remota a los sistemas de vigilancia de al menos algunos de sus clientes, incluidos los que se encuentran en las instalaciones de sus clientes gubernamentales, mediante TeamViewer.

«El hecho de que, al menos en algunos casos, Intellexa parezca haber conservado la capacidad de acceder de forma remota a los registros de clientes de Predator, lo que permite al personal de la empresa ver detalles de las operaciones de vigilancia y de las personas atacadas plantea dudas sobre sus propios procesos de diligencia debida en materia de derechos humanos», afirmó Jurre van Bergen, tecnólogo del Laboratorio de Seguridad de Amnistía Internacional, en un comunicado de prensa.

«Si se descubre que una empresa mercenaria de software espía participa directamente en la operación de su producto, según las normas de derechos humanos, podría quedar expuesta a demandas de responsabilidad en casos de uso indebido y si el uso de software espía provoca algún abuso de los derechos humanos».

El informe también ha destacado los diferentes vectores de entrega adoptados por Intellexa para activar la apertura del enlace malicioso sin la necesidad de que el objetivo haga clic manualmente en él. Esto incluye vectores tácticos como Tritón (divulgado en octubre de 2023), Thor y Oberon (ambos desconocidos en este momento), así como vectores estratégicos que se entregan de forma remota a través de Internet o una red móvil.

Los tres vectores estratégicos se enumeran a continuación:

  • Marte y Júpiter , que son sistemas de inyección de red que requieren la cooperación entre el cliente de Predator y el operador móvil o proveedor de servicios de Internet (ISP) de la víctima para lanzar un ataque de tipo adversario intermedio (AiTM) esperando a que el objetivo abra un sitio web HTTP sin cifrar para activar la infección o cuando el objetivo visite un sitio web HTTPS nacional que ya ha sido interceptado con certificados TLS válidos.
  • Aladino , que aprovecha el ecosistema de la publicidad móvil para llevar a cabo un ataque sin clics que se activa simplemente al ver el anuncio especialmente diseñado. Se cree que el sistema fue en desarrollo desde al menos 2022.

«El sistema Aladdin infecta el teléfono del objetivo obligando a que se muestre en el teléfono del objetivo un anuncio malicioso creado por el atacante», dijo Amnistía. «Este anuncio malintencionado podría publicarse en cualquier sitio web que muestre anuncios».

Mapeo de la web corporativa de Intellexa vinculada al clúster checo

Google dijo que el uso de anuncios maliciosos en plataformas de terceros es un intento de abusar del ecosistema publicitario para tomar las huellas dactilares de los usuarios y redirigir a los usuarios objetivo a los servidores de entrega de exploits de Intellexa. También dijo que trabajó con otros socios para identificar las empresas que Intellexa creó para crear los anuncios y cerrar esas cuentas.

En otro informe, Recorded Future dijo que descubrió dos compañías llamadas Pulse Advertise y MorningStar TEC que parecen estar operando en el sector de la publicidad y probablemente estén vinculadas al vector de infección de Aladdín. Además, hay pruebas de que los clientes de Intellexa con sede en Arabia Saudí, Kazajstán, Angola y Mongolia siguen comunicándose con la infraestructura de varios niveles de Predator.

«Por el contrario, los clientes de Botsuana, Trinidad y Tobago y Egipto dejaron de comunicarse en junio, mayo y marzo de 2025, respectivamente», adicional . «Esto puede indicar que estas entidades dejaron de usar el software espía Predator en esos momentos; sin embargo, también es posible que se hayan limitado a modificar o migrar la configuración de su infraestructura».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.