كشفت منظمة العفو الدولية في تقرير حديث أن محاميًا حقوقيًا من إقليم بلوشستان في باكستان تلقى رابطًا مشبوهًا عبر تطبيق واتساب من رقم مجهول، في أول حادثة تستهدف ناشطًا من المجتمع المدني في البلاد باستخدام برمجية التجسس Predator التي تطورها شركة Intellexa. السلطات الباكستانية نفت هذه المزاعم، ووصفتها بأنها “خالية من أي أساس من الصحة”.
خلفية عن التسريبات والتحقيقات المشتركة
النتائج جاءت ضمن تحقيق مشترك مع صحيفة هآرتس الإسرائيلية، وموقع Inside Story اليوناني، وموقع Inside IT السويسري، استند إلى وثائق داخلية مسربة من الشركة، بما في ذلك مواد تسويقية وفيديوهات تدريبية. وتُظهر التسريبات أن برمجية Predator، المشابهة لأداة Pegasus التابعة لـ NSO، تم تسويقها أيضًا بأسماء أخرى مثل Helios وNova وGreen Arrow وRed Arrow.
استغلال ثغرات يوم الصفر عبر روابط ورسائل
الهجمات تعتمد على منصات المراسلة لتسليم روابط خبيثة تستغل ثغرات غير معلنة مسبقًا، سواء عبر هجمات “النقرة الواحدة” أو “الصفر نقرة”. بمجرد فتح الرابط، يتم تحميل استغلال لمتصفح Chrome على أندرويد أو Safari على iOS، ما يمنح المهاجمين وصولًا أوليًا لتنزيل الحمولة الرئيسية. بيانات من فريق Google Threat Intelligence Group (GTIG) ربطت Intellexa باستغلال سلسلة من ثغرات يوم الصفر، منها:
- CVE-2025-48543 في Android Runtime
- CVE-2025-6554 في محرك V8 لمتصفح Chrome
- CVE-2023-41993 في WebKit Safari
- CVE-2023-41991 وCVE-2023-41992 في إطار أمان Apple
- CVE-2024-4610 في تعريفات GPU من Arm
مراحل الهجوم وأدوات إضافية
بعد استغلال الثغرات، ينتقل الهجوم إلى مرحلة ثانية لكسر حماية متصفح Safari، ثم تنفيذ حمولة ثالثة تُعرف باسم PREYHUNTER، والتي تضم وحدات لمراقبة الأعطال وتسجيل المكالمات الصوتية عبر VoIP وتشغيل لوحة مفاتيح خفية والتقاط الصور من الكاميرا. كما أظهرت التسريبات أن Intellexa تستخدم إطارًا مخصصًا لاستغلال ثغرات V8 في Chrome، مع رصد نشاط في السعودية منتصف 2025.
قدرات Predator ومخاطر حقوق الإنسان
بمجرد تثبيت الأداة، يمكنها جمع بيانات من تطبيقات المراسلة والمكالمات والبريد الإلكتروني والمواقع وكلمات المرور، إضافة إلى تشغيل الميكروفون والكاميرا سرًا. الشركة تعرضت لعقوبات أميركية العام الماضي بسبب تطويرها أدوات مراقبة تقوّض الحريات المدنية. الأخطر أن موظفين في Intellexa احتفظوا بقدرة على الوصول عن بُعد إلى سجلات عملاء Predator عبر TeamViewer، ما يثير تساؤلات حول التزاماتها بحقوق الإنسان وإمكانية تحميلها مسؤولية مباشرة عن أي انتهاكات.
ناقلات جديدة للهجوم عبر الإعلانات والشبكات
التقرير أشار إلى ناقلات تكتيكية مثل Triton وThor وOberon، إضافة إلى ناقلات استراتيجية مثل:
- Mars وJupiter: أنظمة حقن شبكي تتطلب تعاون مزوّد الخدمة المحلي لتنفيذ هجوم “الرجل في الوسط”.
- Aladdin: نظام يستغل بيئة الإعلانات الرقمية لتنفيذ هجوم “صفر نقرة”، حيث يُصاب الهاتف بمجرد عرض إعلان خبيث.
بحسب Google، تم رصد شركات واجهة مثل Pulse Advertise وMorningStar TEC مرتبطة بـ Aladdin، مع استمرار نشاط عملاء Intellexa في دول مثل السعودية وكازاخستان وأنغولا ومنغوليا، بينما توقفت اتصالات عملاء في بوتسوانا ومصر وترينيداد وتوباغو خلال 2025.
