Selon Malwarebytes, s’appuyant sur des documents internes fuités, un billet du Google Threat Analysis Group (TAG) et des vérifications d’Amnesty International, Intellexa — vendeur de spyware mercenaire — continue d’opérer sa plateforme Predator et de viser de nouvelles cibles malgré des sanctions américaines et une enquête en Grèce.

Des chercheurs décrivent l’usage continu par Intellexa de zero‑days contre les navigateurs mobiles, avec une liste de 15 zero‑days uniques publiée par Google TAG. Le modèle économique repose sur l’achat de failles puis leur « brûlage » une fois patchées. Les prix évoqués incluent 100 000 à 300 000 $ pour un RCE Chrome avec contournement du sandbox prêt pour un déploiement à l’échelle, tandis que le courtier Zerodium a offert plusieurs millions (2019) pour des chaînes zero‑click complètes et persistantes sur Android et iOS.

Google TAG indique qu’en 2023, en partenariat avec Citizen Lab, une chaîne d’exploitation iOS zero‑day utilisée in the wild contre des cibles en Égypte a été capturée; elle a été développée par Intellexa et servait à installer Predator de manière furtive.

Pour réduire l’exposition et retarder la « brûlure » des failles, Intellexa envoie des liens à usage unique via des messageries chiffrées E2E et utilise des publicités malveillantes sur des plateformes tierces pour fingerprinter les visiteurs et rediriger ceux qui correspondent à des profils de cibles vers ses serveurs de livraison d’exploits. Une chaîne d’infection zero‑click, nommée « Aladdin », exploite l’écosystème publicitaire mobile : une simple consultation de l’annonce suffit à déclencher l’infection si l’utilisateur fait partie de la cible, sans clic requis. Cette capacité serait toujours opérationnelle et en développement actif.

Le billet relaie enfin des conseils pratiques au grand public, notamment l’utilisation d’un bloqueur de publicités (ex. Malwarebytes Browser Guard), le maintien à jour des logiciels, l’usage d’une protection anti‑malware en temps réel et la prudence face aux messages non sollicités.

IOCs et TTPs:

  • IOCs: aucun indicateur concret (domaines/IP/hash) n’est fourni dans le texte.
  • TTPs:
    • Exploitation de 15 zero‑days mobiles (liste Google TAG) contre navigateurs/appareils iOS/Android.
    • Chaîne zero‑click « Aladdin » via écosystèmes publicitaires (malvertising), fingerprinting et redirections conditionnelles.
    • Liens à usage unique envoyés via messageries chiffrées pour limiter l’exposition des exploits.
    • RCE Chrome + sandbox bypass (exemple de tarification et de capacité technique) pour déploiement à l’échelle.
    • Chaîne iOS capturée (2023) en Égypte, menant à l’installation de Predator.

Type d’article: analyse de menace visant à exposer les techniques, vecteurs et capacités d’Intellexa/Predator et à informer sur l’ampleur de l’écosystème de zero‑days mobiles.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation de 15 zero-days mobiles contre navigateurs/appareils iOS/Android’, ‘Chaîne zero-click « Aladdin » via écosystèmes publicitaires (malvertising), fingerprinting et redirections conditionnelles’, ‘Utilisation de liens à usage unique envoyés via messageries chiffrées pour limiter l’exposition des exploits’, ‘RCE Chrome avec contournement du sandbox pour déploiement à l’échelle’, ‘Chaîne d’exploitation iOS capturée en Égypte, menant à l’installation de Predator’]

🔗 Source originale : https://www.malwarebytes.com/blog/news/2025/12/leaks-show-intellexa-burning-zero-days-to-keep-predator-spyware-running