Σήμερα δόθηκαν στη δημοσιότητα τρεις διαφορετικές, αλλά αλλά συμπληρωματικές εκθέσεις για την Intellexa και το κατασκοπευτικό λογισμικό Predator, αποκαλύπτοντας τη δράση της στον χώρο της ψηφιακής παρακολούθησης. Το Google Threat Intelligence, το Security Lab της Amnesty International και η Recorded Future δημοσιεύσαν ταυτόχρονα νέα τεχνικά και επιχειρησιακά ευρήματα για τις μεθόδους της Intellexa. Σήμερα δημοσιεύτηκε και η μεγάλη κοινή δημοσιογραφική έρευνα «Intellexa Leaks», αποτέλεσμα συνεργασίας του inside story, της ισραηλινής Haaretz και του WAV Research Collective στην Ελβετία.
Τα Intellexa Leaks αποκαλύπτουν υλικό που διέρρευσε από την Intellexa την περίοδο 2018-2025, το οποίο σε συνδυασμό με την εγκληματολογική ανάλυση από το Security Lab της Διεθνούς Αμνηστίας αποκαλύπτει νέους πελάτες, αλλά και παλιούς, που εξακολουθούν να είναι ενεργοί.
Η έρευνα ρίχνει επίσης φως στον εσωτερικό τρόπο λειτουργίας της εταιρείας του spyware. Τα διαρρεύσαντα έγγραφα επιτρέπουν να αποδοθούν με σιγουριά παλαιότερες επιθέσεις σε πελάτες της Intellexa — ανάμεσά τους και η επίθεση που δέχθηκε ο δημοσιογράφος Θανάσης Κουκάκης.
Το πλέον κρίσιμο είναι το ότι τα αρχεία δείχνουν πως σε ορισμένες περιπτώσεις η Intellexa είχε τεχνική δυνατότητα να συνδέεται απομακρυσμένα στα συστήματα παρακολούθησης των πελατών της μετά την εγκατάστασή τους και κατά τη διάρκεια κανονικών επιχειρήσεων.
Η απομακρυσμένη πρόσβαση, ακόμη και αν παρουσιάζεται ως τεχνική υποστήριξη, δημιουργεί σοβαρό νομικό ζήτημα. Εάν ένας κατασκευαστής spyware έχει τη δυνατότητα να βλέπει δεδομένα από ενεργές κρατικές επιχειρήσεις παρακολούθησης, τότε ενδέχεται να φέρει ευθύνη για παράνομες ή καταχρηστικές στοχεύσεις.
Η νέα αυτή πληροφορία έρχεται σε μια κρίσιμη στιγμή, καθώς στην Ελλάδα εξελίσσεται η ποινική δίκη για παραβίαση απορρήτου τηλεπικοινωνιών, στην οποία κατηγορούμενοι είναι τέσσερα άτομα — τρία από τα οποία συνδέονται με την Intellexa.
Η Haaretz, στις 26 Νοεμβρίου, ζήτησε από την Intellexa να διευκρινίσει εάν είχε πρόσβαση στα συστήματα των πελατών, εάν αυτή η πρόσβαση είχε εγκριθεί και εάν υπήρχαν τεχνικά όρια. Η απάντηση που ήρθε στις 3 Δεκεμβρίου από νομικό εκπρόσωπο του ιδρυτή της Intellexa, Tal Dilian, ήταν ότι «δεν έχει διαπράξει κανένα έγκλημα και δεν έχει λειτουργήσει οποιοδήποτε cyber σύστημα στην Ελλάδα ή αλλού». Ωστόσο, δεν απαντήθηκαν τα κρίσιμα ερωτήματα που αφορούν την ουσία της υπόθεσης.
Παρά τις πολυάριθμες αποκαλύψεις, τις οικονομικές κυρώσεις και την ανοικτή δικαστική υπόθεση της στην Ελλάδα, η Intellexa εξακολουθεί να δραστηριοποιείται και να πουλά τα προϊόντα της. Από τις σημερινές δημοσιογραφικές αποκαλύψεις τεκμηριώνεται η απόπειρα μόλυνσης του τηλεφώνου ενός δικηγόρου ανθρωπίνων δικαιωμάτων στο Πακιστάν το καλοκαίρι του 2025 με τεχνολογία της Intellexa.
Παράλληλα, η Intellexa εξακολουθεί να έχει πρόσβαση σε σύγχρονα zero-day exploits και επεκτείνει διαρκώς τις μεθόδους μόλυνσης συσκευών. Η πιο ανησυχητική εξέλιξη είναι το σύστημα Aladdin, το οποίο επιτρέπει την εγκατάσταση του λογισμικού Predator απλώς με την προβολή μιας κακόβουλης διαφήμισης — χωρίς να χρειαστεί ο χρήστης να κάνει κλικ.
Το γεγονός ότι η εταιρεία φαίνεται να έχει αξιοποιήσει το παγκόσμιο οικοσύστημα διαδικτυακής διαφήμισης για να χακάρει κινητά τηλέφωνα, δημιουργεί άμεσο θέμα ευθύνης για τη βιομηχανία AdTech, που μέχρι τώρα θεωρείται «ουδέτερη» τεχνολογική υποδομή.
Η εικόνα της Intellexa μέσα από τα διαρρεύσαντα αρχεία
Τα βίντεο και τα τεχνικά αρχεία των Intellexa Leaks δείχνουν πώς λειτουργεί το Predator μέσα στην πράξη. Σε ένα χαρακτηριστικό εκπαιδευτικό βίντεο, εκπαιδευτής της εταιρείας συνδέεται ζωντανά στο σύστημα πελάτη με την ονομασία EAGLE_2 και περιηγείται στα δεδομένα που έχουν συλλεχθεί από θύματα.
Σε αυτά φαίνονται πραγματικές απόπειρες μόλυνσης — όπως μια στο Καζακστάν, όπου καταγράφεται το IP του στόχου και η τεχνική διαδικασία της επίθεσης. Εντοπίζονται επίσης κακόβουλοι τομείς που χρησιμοποιούνται ως «δήθεν ειδησεογραφικές ιστοσελίδες» για να ξεγελούν τα θύματα. Η Amnesty επιβεβαιώνει ότι αυτοί οι τομείς ανήκουν στην υποδομή του Predator.
Παράλληλα, τα αρχεία αποκαλύπτουν το πώς η Intellexa έχει αναπτύξει ένα ολόκληρο σύστημα πολλαπλών μεθόδων μόλυνσης: από παραδοσιακά links, μέχρι εργαλεία που χρησιμοποιούν παρόχους τηλεφωνίας για να παρεμβάλλουν κακόβουλο κώδικα στο traffic του χρήστη. Το πιο επικίνδυνο από αυτά παραμένει το προαναφερόμενο Aladdin.
Το δίκτυο εταιρειών γύρω από την Intellexa
Στη σημερινή της έκθεση η Recorded Future χαρτογραφεί το διεθνές εταιρικό δίκτυο γύρω από την Intellexa. Η έρευνα αποκαλύπτει δεκάδες εταιρείες-βιτρίνες σε Ευρώπη, Αφρική, Ασία και Μέση Ανατολή, που λειτουργούν ως κομμάτια ενός παγκόσμιου συστήματος: εταιρείες διαφήμισης που σχετίζονται με το Aladdin, εταιρείες logistics που μεταφέρουν εξοπλισμό, εταιρείες τεχνολογίας που φιλοξενούν servers.
Χαρακτηριστικό παράδειγμα είναι η PULSE FZCO στα Ηνωμένα Αραβικά Εμιράτα, η οποία εντοπίστηκε να αποστέλλει εξοπλισμό σε υπηρεσίες πληροφοριών της Μποτσουάνα και σε εταιρεία του Καζακστάν — χώρες στις οποίες, λίγο αργότερα, εμφανίστηκαν επιχειρήσεις Predator.
Ανάμεσα στις χώρες που συνδέονται με το δίκτυο βρίσκεται και η Ελλάδα. Η Recorded Future αναφέρει ότι η Αθήνα υπήρξε κέντρο εκπαίδευσης χειριστών Predator, ενώ εταιρείες που σχετίζονται με την Intellexa εμπλέκονται στο σκάνδαλο Predatorgate, το οποίο παραμένει υπό διερεύνηση.
Τα τεχνικά ευρήματα της Google
Η εικόνα ολοκληρώνεται με τις σημερινές αποκαλύψεις της Google Threat Intelligence Group, η οποία επιβεβαιώνει ότι η Intellexa είναι ένας από τους πιο ενεργούς εκμεταλλευτές zero-day ευπαθειών σε κινητά τηλέφωνα. Όπως αναφέρει, από το 2021 έχουν αποδοθεί στην εταιρεία τουλάχιστον 15 κρίσιμα zero-days.
Το 2025, μια νέα επίθεση που εντοπίστηκε ανάγκασε τη Google να εκδώσει έκτακτη ενημέρωση ασφαλείας και να ειδοποιήσει εκατοντάδες πιθανά θύματα σε πολλές χώρες.Η Google εντόπισε ότι σε συσκευές εγκαταστάθηκε κακόβουλο λογισμικό της Intellexa χωρίς καμία ενέργεια από τον χρήστη. Το εργαλείο PREYHUNTER μπορούσε να καταγράφει συνομιλίες, πληκτρολογήσεις και εικόνες από την κάμερα.
Λόγω της σοβαρότητας της υπόθεσης, η Google προχώρησε σε ενημέρωση κυβερνήσεων και κρατικών οργανισμών σε πολλές χώρες. Παράλληλα, έστειλε εκατοντάδες ειδοποιήσεις σε άτομα που στοχοποιήθηκαν από πελάτες της Intellexa, σε χώρες όπως Πακιστάν, Καζακστάν, Αίγυπτο, Σαουδική Αραβία και άλλες.
Η Google δημοσιοποίησε επίσης την έρευνα, πρόσθεσε όλους τους κακόβουλους ιστότοπους στο Safe Browsing και κάλεσε τις κυβερνήσεις να ενισχύσουν τα μέτρα προστασίας και να στηρίξουν διεθνείς προσπάθειες για τον περιορισμό της εμπορικής κατασκοπείας.
Το σύνολο των αποκαλύψεων δείχνει ότι η Intellexa λειτουργεί ως ένα πλήρες οικοσύστημα, όχι ως μια απλή εταιρεία τεχνολογίας. Παράγει exploits, συνδέεται με κυβερνητικές υπηρεσίες, μεταφέρει εξοπλισμό, διεισδύει στη διαδικτυακή διαφήμιση και — το πιο ανησυχητικό — φαίνεται πως διατηρεί πρόσβαση στα ίδια τα συστήματα παρακολούθησης που εγκαθιστά.
