Intellexa, la compañía de spyware, ha explotado 15 vulnerabilidades de día cero desde 2021 para atacar a usuarios de iOS y Android en todo el mundo. A pesar de las sanciones del gobierno de EE. UU., la compañía continúa operando y las amenazas siguen activas en países como Arabia Saudita, Pakistán y Egipto.
Una empresa comercial de spyware llamada Intellexa ha explotado 15 vulnerabilidades de día cero desde 2021 para atacar a usuarios de iOS y Android en todo el mundo. La compañía, conocida por desarrollar el spyware Predator, continúa operando a pesar de haber sido sancionada por el gobierno de los Estados Unidos. Las amenazas permanecen activas en múltiples países, con ataques recientes detectados en Arabia Saudita, Pakistán, Egipto y otros
Una compañía de spyware comercial llamada Intellexa ha explotado 15 vulnerabilidades de día cero desde 2021 para atacar a usuarios de iOS y Android en todo el mundo.
La compañía, conocida por desarrollar el spyware Predator, continúa operando a pesar de haber sido sancionada por el gobierno de los Estados Unidos.
Las amenazas permanecen activas en múltiples países, con ataques recientes detectados en Arabia Saudita, Pakistán, Egipto y otras naciones.
Intellexa se ha convertido en una de las compañías de spyware más activas en la explotación de vulnerabilidades de día cero en navegadores móviles.
Los ataques se dirigen a dispositivos iOS y Android a través de enlaces ocultos enviados a través de aplicaciones de mensajería encriptada. De aproximadamente 70 vulnerabilidades de día cero descubiertas desde 2021, Intellexa representa 15 exploits únicos.
Estos incluyen vulnerabilidades de Ejecución Remota de Código, Sandbox Escape, y Escalada de Privilegios Locales. Todos los proveedores afectados han parcheado estas fallas de seguridad.
Investigadores de seguridad de Google Cloud identificaron las continuas actividades de Intellexa a través de un extenso análisis de amenazas.
La investigación reveló que Intellexa compra cadenas de exploits a fuentes externas en lugar de desarrollar todas las herramientas internamente. Este enfoque permite a la compañía adaptarse rápidamente cuando se lanzan parches de seguridad.
La compañía opera a través de organizaciones fachada para evitar la detección y continúa sirviendo a clientes en todo el mundo a pesar de las sanciones internacionales.
El spyware utiliza un proceso de ataque de tres etapas para comprometer los dispositivos. En un caso documentado en Egipto, Intellexa implementó una cadena de exploits internamente llamada “smack” para instalar Predator spyware en dispositivos iOS.
.webp)
Prueba y validación de la ejecución de shellcode (Fuente – Google Cloud)
El ataque comenzó con una vulnerabilidad del navegador Safari rastreada como CVE-2023-41993. El exploit utilizó un framework llamado JSKit para lograr acceso de lectura y escritura a la memoria.
Este framework ha aparecido en múltiples campañas desde 2021, incluidos ataques de grupos respaldados por el gobierno ruso.
El análisis del código muestra que el framework está bien mantenido y admite varias versiones de iOS.
Mecanismo de Infección y Capacidades Sigilosas
La segunda etapa se libera del sandbox de Safari utilizando vulnerabilidades del kernel CVE-2023-41991 y CVE-2023-41992.
Esta etapa proporciona acceso a la memoria del kernel al payload de la tercera etapa. La etapa final incluye dos módulos llamados helper y watcher.
El módulo watcher monitorea el dispositivo infectado en busca de actividades sospechosas. Verifica el modo de desarrollador, los archivos adjuntos de la consola, las herramientas de seguridad y las configuraciones de red personalizadas.
Si detecta configuraciones regionales de EE. UU. o Israel, aplicaciones de seguridad como McAfee o Norton, o herramientas de depuración como Frida o SSH, termina el ataque.
Vulnerabilidades de Día Cero de Intellexa (2021-2025):-
| CVE | Tipo de Vulnerabilidad | Proveedor | Producto Afectado |
|---|---|---|---|
| CVE-2025-48543 | SBX+LPE | Android | |
| CVE-2025-6554 | RCE | Chrome | |
| CVE-2023-41993 | RCE | Apple | iOS |
| CVE-2023-41992 | SBX+LPE | Apple | iOS |
| CVE-2023-41991 | LPE | Apple | iOS |
| CVE-2024-4610 | LPE | ARM | Mali |
| CVE-2023-4762 | RCE | Chrome | |
| CVE-2023-3079 | RCE | Chrome | |
| CVE-2023-2136 | SBX | Skia | |
| CVE-2023-2033 | RCE | Chrome | |
| CVE-2021-38003 | RCE | Chrome | |
| CVE-2021-38000 | RCE | Chrome | |
| CVE-2021-37976 | SBX | Chrome | |
| CVE-2021-37973 | SBX | Chrome | |
| CVE-2021-1048 | SBX+LPE | Android |
El módulo helper proporciona funciones básicas de spyware a través de frameworks de hooking personalizados llamados DMHooker y UMHooker.
Estos permiten la grabación de llamadas de voz, que se almacenan como /private/var/tmp/l/voip_%lu_%u_PART.m4a, la captura de pulsaciones de teclas y la toma de fotos de la cámara.
El módulo también se conecta a SpringBoard para ocultar las alertas de notificación de estas acciones.
Los artefactos de compilación muestran la ruta de construcción como /Users/gitlab_ci_2/builds/jbSFKQv5/0/roe/ios16.5-smackjs8-production/, confirmando los nombres de seguimiento internos.
Fuentes:
https://cybersecuritynews.com/predator-spyware-compamy-used-15-zero-days/
https://securitylab.amnesty.org/latest/2025/12/intellexa-leaks-predator-spyware-operations-exposed/
No hay comentarios:
Publicar un comentario