كشفت منظمة العفو الدولية أن محامياً حقوقياً في إقليم بلوشستان الباكستاني تلقى رسالة عبر واتساب من رقم مجهول تحتوي على رابط مشبوه، وتبين لاحقاً أنه رابط مصمم لتفعيل برمجية Predator، أحد أدوات التجسس التي تطورها شركة Intellexa. وتعد هذه أول حادثة موثقة تستهدف أحد أفراد المجتمع المدني في باكستان باستخدام هذا البرنامج.
ووفقاً للتقرير، فإن الرابط يحمل نفس الخصائص التقنية المعروفة في روابط هجمات Predator التي تعتمد على نقرة واحدة، وقد نفت السلطات الباكستانية هذه الادعاءات ووصفتها بأنها بلا أساس.
أنجزت المنظمة التحقيق بالشراكة مع صحيفة Haaretz الإسرائيلية، وموقعي Inside Story وInside IT، استناداً إلى تسريبات تشمل وثائق داخلية، ومواد تدريبية، وعروض تسويقية، وفيديوهات من شركة Intellexa التي طورت برنامج Predator، وهو أداة تجسس مشابهة لـ Pegasus، يتيح الوصول الكامل إلى محتوى الهواتف التي تعمل بأنظمة iOS وAndroid. وتشير الوثائق إلى تسويقه أيضاً بأسماء أخرى مثل Helios وNova وGreen Arrow وRed Arrow.
تعتمد الهجمات على استغلال روابط يتم فتحها عبر رسائل، وقد تفعل عبر نقرة واحدة أو دون تفاعل المستخدم. وفي حال فتح الرابط، ينفذ البرنامج سلسلة من الثغرات في متصفح Chrome أو Safari بحسب نظام التشغيل، ما يسمح بتنزيل الحمولة الأساسية للتجسس.
قائمة الثغرات الأمنية المستخدمة في عمليات Predator وتفاصيل مراحل الهجوم
بحسب Google Threat Intelligence Group، ارتبطت Intellexa باستخدام واستغلال عدد كبير من الثغرات المعروفة بـ zero-day، وهي:
- CVE-2025-48543: استخدام بعد التحرير في Android Runtime (Google)
- CVE-2025-6554: خلل تفسير الأنواع في V8 (Google Chrome)
- CVE-2023-41993: تنفيذ برمجي عبر JIT في WebKit (Apple Safari)
- CVE-2023-41992: استخدام بعد التحرير في kernel IPC (Apple)
- CVE-2023-41991: تجاوز التحقق من الشهادات في Security framework (Apple)
- CVE-2024-4610: ثغرة استخدام بعد التحرير في تعريفات Bifrost وValhall GPU kernel driver (Arm)
- CVE-2023-4762: خلل تفسير الأنواع في V8 (Google Chrome)
- CVE-2023-3079: خلل تفسير الأنواع في V8 (Google Chrome)
- CVE-2023-2136: تجاوز عددي في Skia (Google Chrome)
- CVE-2023-2033: استخدام بعد التحرير في V8 (Google Chrome)
- CVE-2021-38003: تنفيذ غير مناسب في V8 (Google Chrome)
- CVE-2021-38000: تحقق غير كاف من مدخلات غير موثوقة في Intents (Google Chrome)
- CVE-2021-37976: تسريب معلومات في memory_instrumentation (Google Chrome)
- CVE-2021-37973: استخدام بعد التحرير في Portals (Google Chrome)
- CVE-2021-1048: استخدام بعد التحرير في Kernel لنظام Android (Google)
في حالة موثقة من مصر عام 2023، تم استخدام سلسلة استغلال تشمل CVE-2023-41993 بالتزامن مع إطار JSKit لتنفيذ التعليمات البرمجية الأصلية، ثم استخدمت الثغرتان CVE-2023-41991 وCVE-2023-41992 لكسر العزل وتشغيل حمولة خبيثة ثالثة اسمها PREYHUNTER، التي تتكون من:
- وحدة Watcher: لمراقبة استقرار الجهاز والتوقف عند كشف سلوك مريب
- وحدة Helper: للتسجيل الصوتي والتقاط الصور وتشغيل keylogger
كما كشفت التسريبات عن استخدام إطار عمل مخصص لتسهيل استغلال ثغرات V8 في Google Chrome، ورصد استغلال مباشر لإحداها في السعودية في يونيو 2025.
بنية الاستغلال المتعددة وأداة Aladdin التي تستخدم الإعلانات في الاختراق
أظهرت الوثائق أن Intellexa استخدمت وسائل متعددة لتفعيل روابط التجسس دون تفاعل المستخدم. من بين هذه الوسائل أدوات مثل Triton (المعلن عنها في أكتوبر 2023)، وThor وOberon. كما طورت أدوات استراتيجية تعتمد على الشبكات لتثبيت البرنامج دون علم الضحية، ومنها:
- Mars وJupiter: تستخدم تقنيات حقن الشبكات بالتعاون مع مزودي الخدمة المحليين في تنفيذ هجمات MITM، عبر اعتراض زيارات HTTP غير المشفرة أو HTTPS باستخدام شهادات TLS صالحة
- Aladdin: نظام يعتمد على استغلال شبكات الإعلانات لتنفيذ هجمات دون نقرة، ويبدأ الاختراق بمجرد عرض الإعلان الخبيث
وصرحت منظمة العفو الدولية أن Aladdin قادر على عرض الإعلانات الخبيثة على أي موقع يستخدم شبكات إعلانية. وأكدت Google أن Intellexa استخدمت شركات فرعية لإدارة الحملات الإعلانية وتوجيه الضحايا إلى خوادم الاستغلال، وقد عملت Google مع شركاء لتعطيل هذه الحسابات.
كما رصدت مجموعة Insikt التابعة لـ Recorded Future شركتين مرتبطتين بـ Aladdin، هما Pulse Advertise وMorningStar TEC. وأظهرت تحليلات البنية التحتية أن جهات في السعودية وكازاخستان وأنغولا ومنغوليا لا تزال تتواصل مع خوادم Predator، في حين توقفت جهات في بوتسوانا وترينيداد وتوباغو ومصر في 2025، ما قد يدل على إنهاء استخدام الأداة أو تعديل البنية التحتية فقط.
واحدة من أخطر النتائج أظهرت أن موظفين من Intellexa كانوا قادرين على الوصول عن بعد إلى أنظمة المراقبة لدى بعض العملاء الحكوميين باستخدام أدوات مثل TeamViewer، ما يثير مخاوف قانونية واسعة. وقال Jurre van Bergen من Amnesty إن هذا يضع الشركة أمام مسؤوليات حقوقية مباشرة.
