Predator wykorzystuje nowy wektor infekcji do ataków „zero-click”. Co wiemy o Aladdin, Triton, Mars i Jupiter?

Wprowadzenie do problemu / definicja luki

Predator – komercyjne oprogramowanie szpiegujące sprzedawane przez grupę Intellexa – zyskało nowy, wcześniej nieudokumentowany sposób infekcji ofiar bez ich interakcji. Wektor o nazwie „Aladdin” wykorzystuje ekosystem reklam mobilnych, aby dostarczyć ładunek eksploita „po samym wyświetleniu reklamy”. Nowe ustalenia wynikają z wycieku wewnętrznych materiałów („Intellexa Leaks”) oraz zbieżnych analiz Google Threat Intelligence (d. TAG) i Recorded Future. Doniesienia prasowe i analizy techniczne wskazują ponadto na istnienie dodatkowych wektorów, m.in. Triton (bazujący na modemie/basebandzie Samsung Exynos) oraz Mars/Jupiter (wstrzykiwanie sieciowe z udziałem operatorów).

W skrócie

• Aladdin: reklamowy wektor „zero-click” – atakujący wymusza serwowanie spreparowanej reklamy do konkretnego IP/ofiary poprzez DSP; samo wyświetlenie ma uruchamiać łańcuch eksploita i przekierowania do serwerów exploit-delivery Intellexy.
• Triton: wektor taktyczny dla urządzeń z Samsung Exynos – możliwe wymuszenie degradacji do 2G i atak na baseband (zasięg radiowy/proximity). Status bieżącego wykorzystywania niepewny.
• Mars/Jupiter: wektory strategiczne z wtryskami sieciowymi we współpracy z ISP/MNO; Jupiter rozszerza atak o krajowe strony HTTPS z ważnymi certyfikatami. Coraz trudniejsze przez „HTTPS-only”, ale przez cały czas wykonalne w określonych warunkach.
• Skala: Google wiąże Intellexę z 15 z ~70 0-dayów odkrytych od 2021 r.; GTI rozesłało ostrzeżenia do „kilkuset” kont w wielu krajach.
• Kontekst rynkowy: Recorded Future opisuje firmy-wydmuszki (w tym z branży reklamowej) oraz ślady wdrożeń w kolejnych państwach; Amnesty potwierdza trwające nadużycia wobec społeczeństwa obywatelskiego.

Kontekst / historia / powiązania

Artykuł BleepingComputer z 4 grudnia 2025 r. podsumowuje wyniki śledztwa Inside Story / Haaretz / WAV Research Collective oraz analiz Amnesty Security Lab, Google i Recorded Future – wszystkie te źródła potwierdzają, iż Predator wciąż ewoluuje mimo sankcji i dochodzeń. To wpisuje się w szerszy trend „mercenary spyware” (Pegasus, Reign/QuaDream, Graphite/Paragon), które wykorzystują łańcuchy 0-day dla iOS/Android oraz techniki zero-click.

Analiza techniczna / szczegóły luki

Aladdin: reklamowy „zero-click”

• Mechanizm: operator tworzy złośliwy materiał reklamowy i zleca jego emisję tylko dla wybranej ofiary, np. po publicznym adresie IP (często pozyskanym od operatora w kraju klienta). Gdy reklama się wyświetli w przeglądarce lub aplikacji mobilnej korzystającej z SDK reklamowego, następuje przekierowanie do serwerów dostarczających exploit i instalujących Predatora. Nie jest wymagane kliknięcie.
• Łańcuch dostaw: Intellexa ukrywa dystrybucję przez sieć spółek (Irlandia, Niemcy, Szwajcaria, Grecja, Cypr, ZEA, Węgry) oraz podmioty z branży reklamowej. Recorded Future wskazuje świeże powiązania z firmami reklamowymi powiązanymi z „Aladdin”.

Triton: baseband/Exynos + 2G downgrade

• Taktyczny (wymaga bliskości): wykorzystuje degradację do 2G i podatności basebandu Samsung Exynos w celu dostarczenia exploita bez udziału przeglądarki. Amnesty notuje brak pewności co do bieżącej operacyjności wektora.

Mars & Jupiter: wtrysk na warstwie sieci

• Strategiczne (zdalne): injection realizowany we współpracy z ISP/MNO – wstrzyknięcie linku infekcyjnego podczas zwykłego przeglądania; Jupiter umożliwia atak także na krajowe serwisy HTTPS (z legalnymi certyfikatami). Skuteczność ogranicza rosnące „HTTPS-only”, ale materiały Intellexy pokazują, iż moduły były oferowane klientom.

Prolificzność 0-dayów

Google GTI 3 grudnia 2025 r. opublikowało listę CVE powiązanych z łańcuchami Intellexy (Android, Chrome, iOS, ARM Mali). Od 2021 r. ~15 unikalnych 0-dayów przypisywanych Intellexie w zbiorze ~70 przypadków TAG/GTI. GTI jednocześnie wysłało government-backed warnings do setek potencjalnie celowanych kont i dodało domeny do Safe Browsing.

Praktyczne konsekwencje / ryzyko

• By-design omijanie użytkownika: Aladdin minimalizuje ekspozycję operatora – nie trzeba wysyłać SMS/DM z linkiem; wystarczy „zwykłe” surfowanie/korzystanie z aplikacji z reklamami.
• Trudność detekcji: łańcuchy są krótkotrwałe (single-use links), infrastrukturę ukrywa C2 Anonymization Network, telemetrycznie wygląda to jak legalny ruch reklamowy lub operatorowy.
• Targeting wysokowartościowych ofiar: koszty licencji i 0-dayów powodują, iż głównymi celami są politycy, dziennikarze, prawnicy, liderzy biznesu, NGO – ale RF notuje też rosnące zainteresowanie liderami korporacyjnymi.
• Ryzyko na poziomie państw/ISP: Mars/Jupiter wymagają współpracy po stronie operatorów/ISP – jeżeli państwo-klient zezwala, ochrona na warstwie użytkownika bywa niewystarczająca.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników wysokiego ryzyka (HVA)

1. iOS: włącz Lockdown Mode; aktualizuj iOS natychmiast po wydaniach bezpieczeństwa.
2. Android: włącz Advanced Protection od Google (jeśli dostępne), trzymaj Chrome/Play Services na najnowszych wersjach.
3. Blokowanie reklam: stosuj systemowe lub na-poziomie-przeglądarki rozwiązania do blokowania reklam/trackingu (uświadamiamy, iż nie jest to „srebrna kula”, ale utrudnia emisję Aladdin).
4. Minimalizacja identyfikatorów: wyłącz/podmień Advertising ID, ogranicz personalizację reklam; używaj sieci z maskowaniem IP (np. Private Relay/zgodne VPN), mając świadomość, iż operator w kraju klienta może i tak powiązać IP z abonentem.
5. Tryb pracy: przeglądarka tylko z HTTPS-Only, izolacja profili, ograniczenie WebKit/V8 w komunikatorach (otwieranie linków w sandboxowanej przeglądarce). (Wnioski własne na bazie opublikowanych technik.)

Dla zespołów bezpieczeństwa (SOC/IR/MDM)

• Patching-first: priorytetyzuj aktualizacje mobilne (Android firmware, iOS, Chrome) – GTI listuje szereg CVE wykorzystywanych w łańcuchach Predator.
• Hardening mobilny: MDM wymuszające Lockdown Mode (VIP), polityki instalacji aplikacji, wyłączenie sideloadingu, kontrola profili VPN/CA. (Wnioski własne oparte o techniki opisywane przez GTI/Amnesty.)
• Telemetria: hunt pod kątem anomalii reklamowych/redirectów i domen z kolekcji GTI/IOC; integracja Safe Browsing.
• Procedury na wypadek podejrzenia spyware: izolacja urządzenia, wymiana karty SIM/IMEI tylko po konsultacji forensycznej; zgłoszenie do CISA/krajowych CSIRT i producenta platformy. (CISA ostrzegała niedawno o nadużyciach spyware wymierzonych w aplikacje komunikatorów.)

Różnice / porównania z innymi przypadkami

• Pegasus (NSO): potwierdzone w pełni zdalne zero-click via iMessage/BlastPass – bez reklam i bez operatora/ISP. Predator dotąd częściej opierał się na 1-click i injection/proximity; Aladdin zbliża go do modelu „prawdziwego” zero-click, ale wykorzystuje infrastrukturę reklamową i/lub selektory sieciowe.
• Graphite (Paragon): także zdolność zero-click i cele w UE, ale inny łańcuch eksploita i inny dostawca – pokazuje szerszy problem branży „mercenary spyware”. (Kontekst porównawczy – źródła o Predatorze i ekosystemie szpiegowskim.)

Podsumowanie / najważniejsze wnioski

• Aladdin potwierdza, iż reklamowy ekosystem może stać się wektorem „zero-click” klasy rządowej.
• Obrona warstwowa (patching, tryby ochronne iOS/Android, blokowanie reklam/trackerów, minimalizacja identyfikatorów, monitoring redirectów) jest koniecznością – pojedynczy kontroler rzadko wystarcza.
• Operatorzy/ISP oraz dostawcy ads stają się punktami nacisku – potrzebne są procesy due-diligence i mechanizmy „abuse handling” po stronie ekosystemu reklamowego.
• Mimo sankcji i nagłośnienia, Intellexa/Predator pozostaje aktywna; branża potrzebuje norm międzynarodowych i twardych wymogów po stronie platform.

Źródła / bibliografia

1. BleepingComputer – Predator spyware uses new infection vector for zero-click attacks (4 grudnia 2025). (BleepingComputer)
2. Amnesty International Security Lab – To Catch a Predator: Leak exposes the internal operations of Intellexa’s mercenary spyware (4 grudnia 2025). (Amnesty International Security Lab)
3. Google Threat Intelligence – Sanctioned but Still Spying: Intellexa’s Prolific Zero-Day Exploits Continue (3 grudnia 2025). (Google Cloud)
4. Recorded Future Insikt Group – Intellexa’s Global Corporate Web (grudzień 2025). (Recorded Future)
5. CISA – Spyware Allows Cyber Threat Actors to Target Users of Messaging Applications (24 listopada 2025) – kontekst zaleceń ochronnych. (cisa.gov)