Netcrook Logo
👤 AGONY
🗓️ 16 Jan 2026  

Dietro le linee nemiche: svelato il centro di comando segreto dello spyware Predator

Nuove ricerche rivelano che il fornitore dello spyware Predator potrebbe esercitare un controllo molto maggiore sulle operazioni globali di cyber-spionaggio di quanto sostenuto finora.

Quando si parla di spyware commerciali, la difesa preferita del settore è la negabilità plausibile: “Noi vendiamo gli strumenti, ma non premiamo il grilletto”. Ma un recente approfondimento tecnico sul famigerato spyware Predator ribalta questa narrazione, sollevando inquietanti interrogativi su quanta potenza - e quanta consapevolezza - fornitori come Intellexa possiedano davvero sulle campagne di sorveglianza che rendono possibili.

Gli spyware commerciali finiscono sui giornali da anni - spesso collegati a repressioni contro attivisti, giornalisti e avversari politici. Fornitori come NSO Group e Intellexa insistono di limitarsi a fornire ai governi strumenti per combattere criminalità e terrorismo, dichiarando di ignorare come i clienti impieghino i loro prodotti. Ma un’analisi forense del team di sicurezza mobile di Jamf, basata su un campione iOS di Predator pubblicato da Google e Citizen Lab, suggerisce il contrario.

Il team di Jamf ha portato alla luce un tesoro di sofisticate funzionalità anti-analisi incorporate nel codice di Predator. Tra queste: una tassonomia di codici di errore, un sistema furtivo di segnalazione dei crash e perfino hook progettati per nascondere indizi rivelatori - come gli indicatori di registrazione - alle vittime. Invece di interrompersi semplicemente quando viene rilevato, Predator riferisce meticolosamente al proprio server di comando e controllo, spiegando con precisione perché un’installazione è fallita.

Non è solo un design di malware ingegnoso - è un segnale di supervisione centralizzata. “La tassonomia dei codici di errore sembra far parte di un sistema unificato”, ha dichiarato a Dark Reading Nir Avraham di Jamf, “indicando un’infrastruttura controllata o gestita dal fornitore”. L’implicazione: Intellexa potrebbe sapere esattamente quando, dove e perché gli attacchi Predator vanno a vuoto, potenzialmente concedendo al fornitore la capacità di affinare, risolvere problemi o persino intervenire nelle operazioni dei clienti.

Recenti fughe di notizie e inchieste investigative rafforzano questo sospetto, rivelando la capacità tecnica di Intellexa di accedere da remoto ai sistemi dei propri clienti - inclusi quelli all’interno di reti governative sensibili. Sebbene non sia chiaro se Intellexa gestisca direttamente ogni server C2, l’infrastruttura di supporto standardizzata e di livello enterprise indica un grado di coinvolgimento ben oltre la semplice consegna del software.

Per i difensori, queste rivelazioni sono un’arma a doppio taglio. Da un lato, comprendere le condizioni di interruzione di Predator - come il rifiuto dello spyware di avviarsi quando è attiva la Modalità sviluppatore di iOS - offre vie pratiche di resistenza. Dall’altro, la profondità della visibilità del fornitore significa che i bersagli potrebbero trovarsi di fronte non solo ai propri governi, ma a un’entità commerciale oscura e altamente capace che tira i fili da lontano.

Man mano che nel mondo degli spyware si confondono i confini tra venditore e operatore, il mito della neutralità del fornitore sta crollando. Il caso Predator è un monito netto: nel torbido ecosistema della sorveglianza commerciale, il vero burattinaio potrebbe non essere quello che ti aspetti.

WIKICROOK

  • Spyware: Lo spyware è un software che monitora o sottrae informazioni dal tuo dispositivo di nascosto e senza il tuo consenso, mettendo a rischio la tua privacy e i tuoi dati.
  • Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Anti: “Anti” si riferisce ai metodi usati dal malware per evitare il rilevamento o l’analisi da parte di strumenti di sicurezza e ricercatori, rendendo le minacce più difficili da studiare o fermare.
  • Error Code Taxonomy: La tassonomia dei codici di errore organizza i codici di errore in categorie, facilitando una diagnosi rapida e la risposta ai problemi software negli ambienti di cybersecurity.
  • Reverse Engineering: Il reverse engineering consiste nello scomporre software o hardware per capire come funziona, spesso per individuare vulnerabilità o analizzare codice malevolo.
Predator spyware Intellexa cyber-espionage
AGONY AGONY
Elite Offensive Security Commander
← Back to news