Νέα έρευνα του Security Lab της Διεθνούς Αμνηστίας εντόπισε στοιχεία ότι το κατασκοπευτικό λογισμικό Predator χρησιμοποιήθηκε το 2024 στην Αγκόλα για τη στοχοποίηση του Τεϊσέιρα Κάντιντο, δημοσιογράφου, νομικού και ακτιβιστή για την ελευθερία του Τύπου. Πρόκειται για την πρώτη εγκληματολογικά επιβεβαιωμένη περίπτωση χρήσης του Predator εναντίον μέλους της κοινωνίας των πολιτών στη χώρα, εξέλιξη που εντείνει τις ανησυχίες για κλιμάκωση της παρακολούθησης και της πίεσης σε ανεξάρτητες φωνές.
Ο Κάντιντο είναι γνωστός για τη δημόσια υπεράσπιση της ελευθερίας του Τύπου και την κριτική του απέναντι στους κυβερνητικούς περιορισμούς στη δημοσιογραφία. Ως πρώην γενικός γραμματέας του Συνδικάτου Δημοσιογράφων της Αγκόλας είχε καταγγείλει επανειλημμένα επιθέσεις σε δημοσιογράφους και την αυξανόμενη εκφοβιστική στάση απέναντι στα μέσα ενημέρωσης, ενώ τον Δεκέμβριο του 2022, επί της ηγεσίας του, το Συνδικάτο είχε οργανώσει πανεθνική διαμαρτυρία υπέρ της ελευθερίας του Τύπου.
Σύμφωνα με την έρευνα, από τον Απρίλιο έως τον Ιούνιο του 2024, τους τελευταίους μήνες της θητείας του στο Συνδικάτο, ο Κάντιντο άρχισε να λαμβάνει μηνύματα στο WhatsApp στο iPhone του από άγνωστο αποστολέα με αριθμό Αγκόλας. Ο δράστης επιχείρησε να κερδίσει την εμπιστοσύνη του, εμφανιζόμενος ως εκπρόσωπος ομάδας νέων φοιτητών που ενδιαφέρεται για την κοινωνικοοικονομική ανάπτυξη της χώρας και χρησιμοποιώντας γνώριμο αγκολέζικο όνομα. Η επικοινωνία ξεκίνησε χωρίς συνδέσμους, κάτι που οι ερευνητές αξιολογούν ως μέρος στρατηγικής «χτισίματος εμπιστοσύνης».
Στις 3 Μαΐου 2024 εστάλη ο πρώτος κακόβουλος σύνδεσμος, ακολουθούμενος τις επόμενες ημέρες από και άλλους, μεταμφιεσμένους ως παραπομπές σε ειδησεογραφικά άρθρα ή φαινομενικά αθώες ιστοσελίδες. Η εγκληματολογική ανάλυση των συνδέσμων και των σχετικών domains οδήγησε το Security Lab της Διεθνούς Αμνηστίας στο συμπέρασμα, με υψηλό βαθμό βεβαιότητας, ότι επρόκειτο για απόπειρες μόλυνσης με Predator, καθώς οι υποδομές ταυτίστηκαν με γνωστό «ψηφιακό αποτύπωμα» των διακομιστών μόλυνσης της Intellexa.
Στις 4 Μαΐου 2024, ένα εικοσιτετράωρο μετά την αποστολή του πρώτου συνδέσμου, ο Κάντιντο φαίνεται να τον άνοιξε, οδηγώντας σε επιτυχή μόλυνση της συσκευής. Από εκείνη τη στιγμή, ο επιτιθέμενος θα μπορούσε να αποκτήσει σχεδόν πλήρη πρόσβαση στο iPhone, συμπεριλαμβανομένων εφαρμογών κρυπτογραφημένων μηνυμάτων, ηχητικών καταγραφών, emails, δεδομένων τοποθεσίας, φωτογραφιών, κωδικών και ακόμη και της ενεργοποίησης του μικροφώνου.
Οι ερευνητές εντόπισαν ίχνη δικτυακών επικοινωνιών του spyware την ίδια ημέρα, επιβεβαιώνοντας ότι το κακόβουλο λογισμικό ήταν εγκατεστημένο και ενεργό. Το εκτελέσιμο στοιχείο του Predator έτρεχε από μη τυπικό κατάλογο του iOS, ενώ το όνομα της διεργασίας είχε παραμετροποιήσεις ώστε να μιμείται νόμιμη λειτουργία του συστήματος, πρακτική που αποσκοπεί στην αποφυγή εντοπισμού.
Η μόλυνση φαίνεται να διήρκεσε λιγότερο από μία ημέρα και να τερματίστηκε μετά από επανεκκίνηση της συσκευής, ωστόσο μέχρι τα μέσα Ιουνίου 2024 καταγράφηκαν 11 νέες απόπειρες επαναμόλυνσης μέσω συνδέσμων, οι οποίες πιθανότατα απέτυχαν επειδή δεν ανοίχθηκαν. Η χρονική αλληλουχία των γεγονότων, σύμφωνα με τη Διεθνή Αμνηστία, συγκροτεί μια συνεκτική εικόνα επίθεσης που αποδίδεται στο Predator.
Η οργάνωση προειδοποιεί ότι η περίπτωση Κάντιντο ενδέχεται να αποτελεί μόνο την «κορυφή του παγόβουνου». Τεχνική χαρτογράφηση υποδομών δείχνει δραστηριότητα Predator με εστίαση στην Αγκόλα ήδη από τις αρχές του 2023, μέσω δικτύου domains με πορτογαλόφωνη θεματολογία που θα μπορούσαν να παραπλανήσουν στόχους εμφανιζόμενα ως ειδησεογραφικά sites. Παρότι ανεξάρτητες έρευνες έχουν παραπέμψει σε πιθανό πελάτη Predator στη χώρα, η οριστική ταυτοποίηση του χειριστή παραμένει αδύνατη.
Η υπόθεση της Αγκόλας συγκαταλέγεται στις πιο πρόσφατες επιβεβαιωμένες χρήσεις του Predator, μαζί με επίθεση το 2025 σε δικηγόρο ανθρωπίνων δικαιωμάτων στο Μπαλοχιστάν του Πακιστάν.
Παρά τις αποκαλύψεις, τις ποινικές έρευνες και τις κυρώσεις κατά της εταιρείας και στελεχών της, τα νέα ευρήματα ενισχύουν την εκτίμηση ότι το σύστημα της Intellexa παρέμεινε επιχειρησιακό έως και το 2025, σε δικαιοδοσίες που δεν έχουν ακόμη ταυτοποιηθεί. Οι ερευνητές σημειώνουν ότι δεν είναι δυνατό να προσδιοριστεί με βεβαιότητα ποιος πελάτης βρίσκεται πίσω από τις συγκεκριμένες επιθέσεις.
Η νέα αποκάλυψη έρχεται σε συνέχεια των «Intellexa Leaks», που δημοσιεύτηκαν τον Δεκέμβριο του 2025 και φώτισαν τον εσωτερικό τρόπο λειτουργίας της εταιρείας. Στο πλαίσιο της τρέχουσας έρευνας, η Διεθνής Αμνηστία απέστειλε τον Ιανουάριο του 2026 επιστολή στην Intellexa ζητώντας διευκρινίσεις για τις πρακτικές δέουσας επιμέλειας σε θέματα ανθρωπίνων δικαιωμάτων και για το αν η εταιρεία είχε γνώση ή πρόσβαση σε στοιχεία που σχετίζονται με την επίθεση στην Αγκόλα. Μέχρι τη δημοσίευση της έκθεσης, απάντηση δεν είχε δοθεί.
