Una investigación conjunta de Amnistía Internacional, Haaretz, Inside Story e Inside IT ha revelado que el abogado de derechos humanos de la provincia de Baluchistán, Pakistán, fue el objetivo del software espía Predator de Intellexa. Este incidente marca la primera vez que un miembro de la sociedad civil en Pakistán es atacado por esta herramienta de vigilancia. El ataque se llevó a cabo mediante un enlace sospechoso enviado por WhatsApp, que Amnistía Internacional identificó como un “intento de ataque Predator” basado en su comportamiento técnico y características.
Intellexa, el fabricante del spyware Predator (similar a Pegasus de NSO Group), utiliza esta herramienta para extraer datos sensibles de dispositivos Android e iOS sin el conocimiento del objetivo. El software espía se ha comercializado con varios nombres, incluyendo Helios, Nova, Green Arrow y Red Arrow.
Tácticas de Infección y Vulnerabilidades Explotadas
Predator emplea diferentes vectores de acceso inicial, aprovechando vulnerabilidades no reveladas previamente para instalarse de manera encubierta, ya sea a través de un enfoque de cero clics o de un clic.
Ataque “1-Click”
En el caso de un ataque de un clic, el objetivo debe hacer clic en un enlace malicioso. Esto carga un exploit de navegador para Google Chrome (en Android) o Apple Safari (en iOS) para obtener acceso inicial al dispositivo e instalar la carga útil principal del spyware.
Google Threat Intelligence Group (GTIG) ha vinculado a Intellexa con la explotación de numerosos zero-days, desarrollados internamente o adquiridos de terceros. Estos incluyen:
Vulnerabilidades en Android:
- CVE-2025-48543: Use-after-free en Android Runtime (Google)
- CVE-2021-1048: Use-after-free en Android Kernel (Google)
- CVE-2024-4610: Use-after-free en Bifrost GPU y Valhall GPU Kernel Driver (Arm)
Vulnerabilidades en Google Chrome (V8 y Skia):
- CVE-2025-6554: Type confusion en V8
- CVE-2023-4762: Type confusion en V8
- CVE-2023-3079: Type confusion en V8
- CVE-2023-2136: Desbordamiento de enteros en Skia
- CVE-2023-2033: Use-after-free en V8
- CVE-2021-38003: Implementación inapropiada en V8
- CVE-2021-38000: Validación insuficiente de entrada no confiable en Intents
- CVE-2021-37976: Fuga de información en memory_instrumentation
- CVE-2021-37973: Use-after-free en Portals
Vulnerabilidades en Apple iOS/Safari:
- CVE-2023-41993: WebKit JIT RCE (Apple Safari)
- CVE-2023-41992: Kernel IPC Use-After-Free (Apple)
- CVE-2023-41991: Omisión de validación de certificados en el framework de seguridad (Apple)
Un ejemplo específico de cadena de exploits iOS observada en 2023 contra objetivos en Egipto utilizó CVE-2023-41993 y el framework JSKit.
Carga Útil del Spyware (PREYHUNTER)
Tras la explotación exitosa, el ataque pasa a una segunda etapa para evadir el sandbox de Safari y ejecutar la carga útil de tercera etapa, denominada PREYHUNTER, aprovechando vulnerabilidades adicionales como CVE-2023-41991 y CVE-2023-41992. PREYHUNTER consta de dos módulos clave:
- Watcher: Monitorea fallos y comportamientos sospechosos en el dispositivo. Si se detectan patrones anómalos, finaliza el proceso de explotación para evitar la detección.
- Helper: Se comunica con otras partes del exploit para desplegar hooks, registrar conversaciones VoIP, capturar pulsaciones de teclas (keylogger) y tomar fotos con la cámara.
Una vez instalado, Predator recopila datos de aplicaciones de mensajería, llamadas, correos electrónicos, ubicaciones del dispositivo, capturas de pantalla y contraseñas, exfiltrándolos a un servidor externo ubicado físicamente en el país del cliente.
Vectores de Entrega Avanzados y Acceso Remoto de Intellexa
La investigación también reveló vectores de entrega más sofisticados (cero clics) y prácticas operativas cuestionables por parte de Intellexa:
Vectores Estratégicos (Cero Clic)
- Mars y Jupiter (Inyección de Red): Estos sistemas de inyección de red requieren la cooperación del proveedor de servicios de internet (ISP) o el operador móvil del objetivo. Realizan ataques de “adversario en el medio” (AitM) para infectar el dispositivo cuando el objetivo visita un sitio web HTTP sin cifrar o un sitio HTTPS doméstico interceptado.
- Aladdin (Ecosistema Publicitario Móvil): Este sistema explota el ecosistema publicitario móvil. Un ataque de cero clics se desencadena simplemente al ver un anuncio malicioso creado por el atacante. Google ha identificado y cerrado cuentas de compañías (Pulse Advertise y MorningStar TEC) vinculadas a este vector.
Acceso Remoto a Clientes
Una revelación significativa es que el personal de Intellexa supuestamente tenía la capacidad de acceder de forma remota a los sistemas de vigilancia de sus clientes, incluso aquellos ubicados en las instalaciones de clientes gubernamentales, utilizando TeamViewer. Según Amnistía Internacional, esta práctica plantea serias dudas sobre los procesos de diligencia debida en derechos humanos de Intellexa y podría exponer a la empresa a reclamaciones de responsabilidad en casos de uso indebido.
Alcance Global y Repercusiones Legales
A pesar de las sanciones impuestas por Estados Unidos el año pasado por socavar las libertades civiles, Recorded Future informó en junio de 2025 que detectó actividad relacionada con Predator en más de una docena de países, principalmente en África, lo que sugiere una “creciente demanda” de este tipo de spyware. La comunicación con la infraestructura de Predator por parte de clientes en Arabia Saudita, Kazajistán, Angola y Mongolia todavía está activa, mientras que clientes en Botsuana, Trinidad y Tobago y Egipto parecen haber cesado su uso.
Referencias
- Google Threat Intelligence Group (GTIG)
- Amnesty International Security Lab
- Recorded Future’s Insikt Group
- CVE-2025-48543
- CVE-2025-6554
- CVE-2023-41993
- CVE-2023-41992
- CVE-2023-41991
- CVE-2024-4610
- CVE-2023-4762
- CVE-2023-3079
- CVE-2023-2136
- CVE-2023-2033
- CVE-2021-38003
- CVE-2021-38000
- CVE-2021-37976
- CVE-2021-37973
- CVE-2021-1048
- JSKit Framework
- PREYHUNTER (Spyware payload)
- Pulse Advertise y MorningStar TEC (compañías vinculadas a vectores de ataque)