L’evoluzione delle operazioni di Intellexa conferma un salto di qualità nella produzione e nell’acquisizione di exploit zero-day, con un impatto diretto sulle capacità dello spyware Predator e sulle tecniche di compromissione contro browser mobili, kernel iOS e componenti Android. Il Google Threat Intelligence Group identifica quindici vulnerabilità uniche attribuibili al vendor dal 2021, segnando una percentuale imponente delle falle realmente sfruttate nel panorama mobile. L’analisi mette in luce l’integrazione di framework esterni come JSKit, l’impiego di moduli avanzati come PREYHUNTER, la persistenza delle catene RCE-SBX-LPE e l’evoluzione delle tecniche di delivery che includono link one-time e campagne pubblicitarie manipolate. Intellexa, nonostante sanzioni e interventi dei vendor, mantiene un ritmo elevato di aggiornamento operativo, sfruttando memory corruption, type confusion e logic flaws per garantire la massima efficacia dello spyware. L’intero quadro mostra la resilienza dell’industria della sorveglianza commerciale e l’urgenza di contromisure coordinate.
Cosa leggere
Le operazioni zero-day di Intellexa e la strategia tecnica globale
La crescita della superficie d’attacco attribuita a Intellexa emerge dalla continuità con cui il vendor identifica, acquista o integra zero-day provenienti da terze parti. L’obiettivo resta mantenere catene di compromissione operative anche dopo gli aggiornamenti dei produttori. La presenza di vulnerabilità come CVE-2025-48543, legata a un use-after-free nell’Android Runtime, o CVE-2025-6554, un type confusion del motore V8 di Chrome, conferma come la società indirizzi sistematicamente i componenti critici dei browser mobili.
| CVE | Ruolo | Vendor | Prodotto | Tipo | Descrizione |
|---|---|---|---|---|---|
| CVE-2025-48543 | SBX + LPE | Android | Memory corruption | Use-After-Free in Android Runtime | |
| CVE-2025-6554 | RCE | Chrome | Memory corruption | Type confusion in V8 | |
| CVE-2023-41993 | RCE | Apple | iOS | Memory corruption | WebKit JIT RCE |
| CVE-2023-41992 | SBX + LPE | Apple | iOS | Memory corruption | Kernel IPC Use-After-Free |
| CVE-2023-41991 | LPE | Apple | iOS | Code Signing Bypass | Code Signing Bypass |
| CVE-2024-4610 | LPE | ARM | Mali | Memory corruption | Improper GPU memory processing operations |
| CVE-2023-4762 | RCE | Chrome | Memory corruption | Type confusion in V8 | |
| CVE-2023-3079 | RCE | Chrome | Memory corruption | Type confusion in V8 | |
| CVE-2023-2136 | SBX | Skia | Memory corruption | Integer overflow in Skia SKSL | |
| CVE-2023-2033 | RCE | Chrome | Memory corruption | Use-After-Free in V8 | |
| CVE-2021-38003 | RCE | Chrome | Memory corruption | Inappropriate implementation in V8 | |
| CVE-2021-38000 | RCE | Chrome | Logic/Design flaw | Insufficient validation of untrusted input in Intents | |
| CVE-2021-37976 | SBX | Chrome | Memory corruption | Information leak in memory_instrumentation | |
| CVE-2021-37973 | SBX | Chrome | Memory corruption | Use-After-Free in Portals | |
| CVE-2021-1048 | SBX + LPE | Android | Memory corruption | Use-After-Free in ep_loop_check_proc |
La tabella elenca le principali vulnerabilità zero-day collegate a Intellexa dal 2021, evidenziando una ricorrenza nei componenti V8 di Chrome, Android Runtime e nel kernel iOS. La maggior parte delle falle riguarda memory corruption e use-after-free, sfruttate per eseguire codice arbitrario (RCE) o ottenere privilegi elevati (LPE). Queste vulnerabilità hanno alimentato le catene di exploit di Predator e framework JSKit impiegati da Intellexa in attacchi multi-fase, confermando il suo ruolo di vendor con la più alta produttività di exploit mobili attivi nel panorama globale.
L’insieme delle quindici vulnerabilità note include falle in WebKit, nel kernel iOS, nel driver ARM Mali e in più moduli di Chrome, con una prevalenza di bug di memoria che consentono chain multi-stage. L’aspetto significativo è l’adattamento quasi immediato dopo ogni patch, con nuove componenti acquisite esternamente o aggiornate per sostituire quelle neutralizzate.
La catena exploit catturata nel 2023
Una delle catene più documentate riguarda l’attacco iOS del 2023, che installa lo spyware Predator in tre stage distinti. Il primo sfrutta CVE-2023-41993, una falla RCE in Safari tramite WebKit JIT, usando il framework JSKit, acquisito da fornitori terzi e già osservato in uso presso altri vendor di sorveglianza dal 2021. Questa libreria permette esecuzione di codice nativo, parsing di binari Mach-O direttamente in memoria e bypass dei meccanismi PAC, creando un ambiente ideale per il pivoting verso il kernel. Il secondo stage compromette la sandbox di Safari sfruttando CVE-2023-41991 e CVE-2023-41992, ottenendo primitive di kernel read/write e consentendo l’esecuzione del terzo stadio con privilegi di sistema. La comunicazione tra i vari stadi avviene tramite primitive condivise e buffer dedicati, rendendo la chain particolarmente stabile. Il terzo stadio, PREYHUNTER, introduce due moduli chiave: watcher e helper. Il primo garantisce che il dispositivo compromesso non manifesti attività sospette; monitora crash, modalità sviluppatore, strumenti come Frida, tcpdump, sshd, applicazioni antivirus e certificati CA non standard. Qualsiasi anomalia genera la terminazione immediata del processo. Il modulo helper, invece, sfrutta framework di hooking come DMHooker e UMHooker per abilitare una serie di capacità spyware: registrazione VOIP, keylogging, cattura fotocamera, manipolazione delle notifiche tramite hooking di SpringBoard. Questo set di funzionalità prepara il dispositivo all’installazione successiva di Predator con il minimo rumore possibile.
La struttura modulare dei framework
Una caratteristica distintiva delle operazioni di Intellexa è la capacità di combinare framework esterni e componenti proprietari in catene coerenti. JSKit è centrale in questo ecosistema: offre lettura e scrittura arbitraria in memoria, parsing dinamico e compatibilità con molte versioni di iOS. Il suo riutilizzo in più campagne dimostra il ruolo fondamentale della modularità nel settore spyware, dove gli exploit possono essere sostituiti senza riscrivere l’intera catena. Nel mondo Chrome, Intellexa impiega framework dedicati a sfruttare bug in V8, tra cui moduli per ottenere il TheHole leak, requisito essenziale per trasformare un type confusion in esecuzione remota stabile. Questa architettura modulare permette all’azienda di reagire rapidamente alle patch, integrando nuovi exploit o sostituendo quelli compromessi.
L’evoluzione delle tecniche di delivery
Le tecniche di delivery riflettono un’evoluzione sostanziale. Intellexa usa link one-time inviati tramite app di messaggistica cifrata, che forniscono l’exploit una sola volta prima di invalidarsi. Questo meccanismo riduce la possibilità di analisi forense e limita la tracciabilità. Dal 2025, la società ha ampliato queste campagne infiltrando l’ecosistema pubblicitario con aziende di facciata, attraverso cui acquista spazi ads per eseguire fingerprinting avanzato e reindirizzare gli utenti verso server controllati. Queste tecniche, basate sull’abuso del trust delle piattaforme advertising, ampliano la superficie di distribuzione e rendono gli attacchi estremamente difficili da rilevare.
Il ruolo dei vendor
La risposta dei vendor emerge attraverso gli avvisi del Google Threat Intelligence Group, che notifica centinaia di account colpiti in regioni come Pakistan e Arabia Saudita. Google aggiorna costantemente la lista Safe Browsing, inserendo domini malevoli identificati nelle campagne Intellexa. Parallelamente, iniziative come il Pall Mall Process puntano alla definizione di norme internazionali sulla limitazione dello spyware commerciale. Nonostante le sanzioni statunitensi, Intellexa continua a operare grazie alla possibilità di acquistare exploit da fornitori esterni e integrarli con estrema rapidità nei propri framework. La resilienza del vendor dimostra come il settore spyware sia in grado di aggirare controlli e limitazioni, sostenuto da un mercato globale disposto a investire in strumenti altamente intrusivi.
Perché Intellexa è un caso centrale nella cybersecurity
L’attenzione verso Intellexa deriva dalla combinazione di capacità tecnica elevata, approvvigionamento costante di exploit, framework modulari e tattiche di delivery stealth. L’azienda non distribuisce semplicemente spyware: costruisce un ecosistema completo che va dalle vulnerabilità allo stager, fino alle funzioni preliminari dello spyware finale. Questa capacità di integrare, sostituire e aggiornare rapidamente ogni componente rende Intellexa uno dei casi più rilevanti nel panorama mondiale della sorveglianza commerciale. Le analisi mostrano come l’azienda sia in grado di mantenere un vantaggio operativo costante, nonostante patch rapide e crescente scrutinio pubblico.
