Source: Investigace.cz — Enquête sur le rôle d’acteurs basés en Tchéquie dans la chaîne d’approvisionnement d’Intellexa (Predator), sur fond de sanctions américaines et de procès en Grèce.
L’enquête met au centre Dvir Horef Hazan, entrepreneur israélien installé à Krnov (Tchéquie), qui aurait servi de fournisseur/fixeur pour Intellexa et sociétés affiliées (au moins €1,73 M versés de 2019 à début 2023). À Krnov, plusieurs de ses entités (Zambrano Trade s.r.o., Hadastech s.r.o., Shilo s.r.o.) ont expédié vers Intellexa S.A. (Grèce) du matériel réseau, SDR/USRPs, routeurs cellulaires, serveurs, onduleurs, capteurs, avec une facture initiale en 2020 pour du « matériel de labo d’occasion » et des livraisons totalisant près de €500k. Un bon d’expédition (12/2020) mentionne « 18 palettes de pièces informatiques ». Une facture du 28/07/2022 cite un paiement pour POC « Aladin », système qu’Intellexa présentait en 2022 pour des infections à distance via publicités (potentiellement zero‑click). Hazan a aussi agi comme intermédiaire pour des stands de conférences (dont ISS World Prague 2022).
L’écosystème décrit relie Hazan à Sara Hamou (partenaire de Tal Dilian, fondateur d’Intellexa), via Guangzhou Commerce Limited (Hong Kong) où Hazan devient co‑directeur en 2017. Des documents montrent des flux financiers: compte à Nicosie (Chypre) alimenté depuis Zurich (EFG Bank), portefeuille actions (~800 k$ en 06/2019), paiements d’« affiliate commissions » (dont ~400 k$ d’une société à Gibraltar), et des frais récurrents à Revcontent LLC (50–60 k$). La société de conseil chypriote de Hamou, Censura Ltd, facture fréquemment Guangzhou et partage l’adresse chypriote; une facture 2019 mentionne un colis vers Krnov. L’enquête cite d’autres proximités: Amos Levy (fournisseur d’un envoi à Intellexa via Hadastech en 12/2020), Amos Uzan (ex‑gouvernement israélien; liens capitalistiques) et des bénéficiaires économiques de BENDER ONE s.r.o. (depuis 04/2023, Sean Farhi et Eslia(s)af Grinfeld — ce dernier se présentant comme actif dans l’« intelligence »).
Au plan opérationnel, des experts consultés (🛰️) estiment que l’équipement fourni est compatible avec des capacités d’IMSI‑catching, fausses stations de base 2G/3G/4G/5G, injection de malware via Wi‑Fi, opérations backend/stockage/cassage de clés et déploiements mobiles via modems LTE. En 2025, Recorded Future – Insikt Group observe la poursuite de l’activité Predator avec de nouvelles infrastructures, des leurres web (faux 404, faux logins/inscriptions, sites « en construction », faux sites de conférence) et des indices reliant un ensemble de serveurs à FoxItech s.r.o. (Krnov, affiliée à Hazan). Des opérateurs suspects sont relevés dans plus d’une douzaine de pays (ex.: Mozambique, Angola, Arménie, Botswana, RDC, Égypte, Indonésie, Kazakhstan, Mongolie, Oman, Philippines, Arabie saoudite, Trinité‑et‑Tobago).
Sur le cadre légal et réglementaire (⚖️): en 2023, le U.S. Department of State ajoute Intellexa S.A., Intellexa Limited, Cytrox Holdings Crt, Cytrox AD à la liste d’entités liées à des activités cyber malveillantes; en 2024, le U.S. Treasury sanctionne ces entités (interdiction de faire du business aux États‑Unis). En Europe, elles ne sont pas sanctionnées à ce jour. En Grèce, un procès a démarré en 2025 pour atteintes à la vie privée (ciblant notamment Thanasis Koukakis et Artemis Seaford), mais est suspendu faute de traductions; Koukakis alerte sur un risque de prescription. Trois sociétés tchèques de Hazan (Zambrano Trade, Hadastech, Shilo) ont été liquidées le 01/11/2024, un mois après une première publication d’Investigace.cz. L’article est une enquête de presse spécialisée visant à documenter une chaîne d’approvisionnement et ses implications opérationnelles et judiciaires.
IOCs: Aucun indicateur technique (domaines/IP/hash) divulgué dans l’extrait.
TTPs observés/rapportés:
- 🎯 Infection via publicités (POC « Aladin »), potentiellement zero‑click.
- 🧲 IMSI‑catching / fausses stations de base 2G/3G/4G/5G avec SDR/USRP et antennes GSM.
- 📶 Injection de malware via Wi‑Fi et infrastructures backend/stockage/opérations mobiles.
- 🕸️ Leurres web: faux 404, faux formulaires login/inscription, sites « en construction », faux sites de conférence.
🔗 Source originale : https://vsquare.org/how-a-czech-supply-chain-feeds-the-global-spyware-machine