Konteks Etis & Legal

Predator adalah spyware komersial yang dikembangkan oleh Cytrox (bagian dari Intellexa Alliance). Seluruh informasi di bawah berasal dari publikasi terbuka: Citizen Lab, Amnesty International, Google Threat Analysis Group (TAG), Meta, dan dokumen forensik publik. Pembahasan ini murni edukasional dan defensif. Penggunaan tanpa otorisasi terhadap sistem milik orang lain adalah ilegal di hampir semua yurisdiksi. Tujuan dokumen ini adalah membekali pembaca dengan pengetahuan untuk mendeteksi, mencegah, dan merespons ancaman berbasis Predator.


🧬 Apa Itu Predator?

Predator adalah platform spyware komersial yang dikembangkan oleh perusahaan Makedonia Utara Cytrox (kemudian diakuisisi oleh Intellexa Alliance, konsorsium yang berbasis di Yunani dan Siprus). Intellexa Alliance mencakup beberapa entitas: Cytrox (pengembang Predator), Nexa Technologies (penjualan), WiSpear (network interception), dan lainnya. Predator adalah pesaing langsung Pegasus (NSO Group) dengan kemampuan serupa tetapi harga lebih rendah, menjadikannya pilihan bagi pemerintah dengan anggaran lebih kecil.

Predator pertama kali diungkap oleh Citizen Lab dan Google TAG pada 2021-2022, ketika ditemukan digunakan untuk menargetkan politisi oposisi di Mesir, jurnalis di Armenia, aktivis di Yunani, dan diplomat di berbagai negara. Tidak seperti Pegasus yang bergantung pada 0-click iMessage/WhatsApp, Predator diketahui menggunakan multiple infection vectors termasuk 0-day browser, link phishing, dan kemungkinan network injection.

Perbandingan Predator vs Pegasus vs FinSpy

AspekPegasus (NSO)Predator (Intellexa)FinSpy (Gamma)
PengembangNSO Group (Israel)Cytrox/Intellexa (Makedonia Utara/Yunani)Gamma/FinFisher (Jerman)
Fokus PlatformiOS, Android (mobile only)iOS, Android, Chrome, Windows (multi-platform via browser exploits)Windows, macOS, Linux, iOS, Android (desktop kuat)
Vektor Utama0-click iMessage/WhatsApp0-day & n-day browser (Chrome, Safari), phishing, network injectionPhishing, fake apps, social engineering, physical access
Harga$10-20 juta+$5-10 juta (estimasi)$1-5 juta (estimasi)
Klien Terungkap40+ negaraMesir, Armenia, Yunani, Arab Saudi, Vietnam, Indonesia?50+ negara
Deteksi ForensikMVT, iShutdown, Amnesty toolsMVT, Google TAG analysis, forensic traces di Chrome/SafariKaspersky, ESET, rootkit scanner

πŸ—οΈ Arsitektur Predator & Intellexa Ecosystem

Intellexa Alliance membangun ekosistem pengawasan yang terintegrasi, di mana Predator adalah ujung tombak. Arsitekturnya:

β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚                    Intellexa Master Server                     β”‚
β”‚  (Control Center - berbasis cloud atau on-premise)             β”‚
β”‚  - Mengelola operasi, agen, pengumpulan data                  β”‚
β”‚  - Antarmuka operator untuk pencarian & analisis              β”‚
β”‚  - Terintegrasi dengan modul lain (WiSpear, dll.)             β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
                            β”‚
         β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”Όβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
         β–Ό                  β–Ό                  β–Ό
β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β” β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β” β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚  Predator      β”‚ β”‚  Predator      β”‚ β”‚  Predator      β”‚
β”‚  Mobile Agent  β”‚ β”‚  Desktop Agent β”‚ β”‚  Browser Agent β”‚
β”‚  (iOS/Android) β”‚ β”‚  (Windows/mac) β”‚ β”‚  (Chrome/Saf)  β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜ β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜ β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
                            β”‚
                            β–Ό
β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚                    Intellexa Relay / Proxy                     β”‚
β”‚  - Menyembunyikan Master Server                               β”‚
β”‚  - Domain fronting, CDN abuse, multi-hop routing              β”‚
β”‚  - Komunikasi terenkripsi (AES-256, custom protocols)         β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
                            β”‚
                            β–Ό
β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚                    Intellexa WiSpear (Opsional)                β”‚
β”‚  - Network interception & injection di level ISP              β”‚
β”‚  - Untuk memaksa target mengunjungi link exploit              β”‚
β”‚  - Man-in-the-middle pada traffic target                      β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜

Komponen Ekosistem Intellexa

KomponenFungsi
Cytrox PredatorImplant spyware untuk mobile dan desktop.
Nexa TechnologiesPenjualan, negosiasi kontrak, dukungan pelanggan.
WiSpearNetwork interception: pasif (monitoring) dan aktif (injection).
Senpai (kemungkinan)Modul analisis data yang dikumpulkan.
AliasEntitas depan untuk menghindari sanksi (berbasis di Siprus, Yunani, Swiss).

πŸ’€ Vektor Infeksi & Kill Chain Predator

Berbeda dengan Pegasus yang sangat bergantung pada 0-click, Predator lebih fleksibel dan menggunakan beberapa rantai infeksi secara paralel.

1. Browser Exploit (Chrome & Safari)

Ini adalah vektor paling signifikan yang diungkap oleh Google TAG. Predator menggunakan 0-day dan n-day exploit untuk browser Chrome (Windows, macOS, Android) dan Safari (iOS).

Tahapan infeksi browser:

[Target menerima link via SMS/email/WhatsApp]
         β”‚
         β–Ό
[Link mengarah ke domain exploit server]
  (Domain sering dibuat dengan typosquatting
   dari situs berita/portal pemerintah)
         β”‚
         β–Ό
[Halaman exploit memuat JavaScript/WebAssembly]
  (Mendeteksi browser, versi, OS)
         β”‚
         β–Ό
[Exploit rantai (1-click)]
  Stage 1: Renderer RCE (misal: CVE-2022-3723 - Chrome V8)
  Stage 2: Sandbox escape (misal: CVE-2022-4135 - Chrome GPU)
  Stage 3: Kernel privilege escalation (OS-specific)
         β”‚
         β–Ό
[Payload Predator terinstal di perangkat]
  - Android: APK dengan hak akses tinggi
  - iOS: Binary yang ditandatangani enterprise certificate
  - Windows/macOS: Executable/dylib persistence

CVE yang pernah digunakan Predator (terungkap):

CVEPlatformKomponenJenis
CVE-2022-3723ChromeV8 engineRenderer RCE (0-day)
CVE-2022-4135ChromeGPUSandbox escape (0-day)
CVE-2022-4262ChromeV8 engineRenderer RCE (0-day)
CVE-2021-38003ChromeV8 engineRenderer RCE (n-day)
CVE-2021-37973ChromePortalsUse-after-free
CVE-2022-2294WebRTCVideoBuffer overflow
CVE-2023-4762ChromeV8 engineType confusion (0-day)

Google TAG mencatat bahwa Predator adalah salah satu pengguna 0-day Chrome paling produktif yang pernah mereka lacak.

2. Mobile Infection (Android & iOS)

Android:

  • Link phishing yang mengarah ke APK berbahaya (menyamar sebagai aplikasi sistem).
  • Exploit browser (Chrome) β†’ mengunduh APK otomatis.
  • Fake update via SMS.

iOS:

  • Exploit Safari (WebKit) β†’ mengunduh binary.
  • Enterprise certificate abuse: Binary ditandatangani dengan sertifikat enterprise, mem-bypass App Store.
  • MDM profile abuse: Membujuk korban menginstal profil Mobile Device Management yang memberikan kontrol penuh.

3. Network Injection (via WiSpear)

Jika klien Intellexa memiliki akses ke infrastruktur ISP lokal (melalui kolusi dengan pemerintah), mereka dapat menggunakan WiSpear untuk:

  • Menyuntikkan iframe atau redirect ke website yang dikunjungi target.
  • Memaksa target mengunduh exploit tanpa perlu mengklik link.
  • Meng-intercept traffic untuk mengumpulkan metadata.

Ini mirip dengan network injection Pegasus, tetapi WiSpear adalah produk terpisah yang terintegrasi.

4. Phishing & Social Engineering

Operator Predator sering menggunakan social engineering yang ditargetkan:

  • Email dengan lampiran berbahaya (PDF, DOCX dengan exploit).
  • Pesan WhatsApp/SMS dari nomor yang tampak resmi.
  • Fake news articles yang meminta target mengklik link.

🦠 Kemampuan Implant Predator

Mobile (Android/iOS)

KemampuanDeskripsi
Audio RecordingAktifkan mikrofon untuk merekam percakapan ambient.
Call RecordingRekam panggilan telepon (VoLTE, VoWiFi, GSM).
Camera CaptureAmbil foto/video dari kamera depan/belakang.
GPS TrackingLacak lokasi real-time dan history.
Message InterceptionBaca SMS, WhatsApp, Telegram, Signal, Viber, Facebook Messenger, dll.
Contact/CalendarEkstrak kontak, kalender, catatan.
File ExfiltrationAkses penyimpanan internal, unggah file target.
KeyloggingRekam input keyboard.
ScreenshotAmbil screenshot layar secara periodik.
App InstallationInstal/matikan aplikasi dari jarak jauh.
PersistenceBertahan setelah reboot via proses sistem.

Desktop (Windows/macOS)

KemampuanDeskripsi
File System AccessBrowse, baca, tulis, unggah file apa pun.
KeyloggingRekam semua ketukan keyboard.
ScreenshotScreenshot periodik.
Webcam/MicStreaming audio/video real-time.
Browser DataEkstrak password, history, cookies, bookmark dari Chrome, Firefox, Edge, Safari.
Email ExfiltrationAkses Outlook, Thunderbird, Apple Mail.
VoIP InterceptionRekam panggilan Skype, Zoom, Teams, dll. (via audio hook).
Clipboard MonitoringCatat isi clipboard.
Process/Service EnumLihat proses berjalan, service, driver.
Network MonitoringTangkap traffic jaringan, lihat koneksi aktif.

πŸ”¬ Deteksi Forensik Predator

1. Jejak di Browser (Chrome)

Google TAG mengembangkan metode forensik untuk mendeteksi infeksi Predator melalui artefak browser:

  • Crash Reports: Chrome mengirimkan crash report saat tab crash. Jika exploit gagal sebagian, crash report mungkin mengandung stack trace yang menunjukkan eksploitasi V8 atau GPU. Analisis chrome://crashes atau file dump lokal.
  • History & Downloads: Periksa history browser untuk URL mencurigakan (domain dengan typosquatting, domain pendek aneh). Periksa download file APK atau executable yang tidak dikenal.
  • Service Worker: Beberapa exploit Predator mendaftarkan service worker untuk persistensi. Periksa chrome://serviceworker-internals/ untuk entri mencurigakan.
  • Extensions: Beberapa varian mencoba menginstal ekstensi Chrome berbahaya. Periksa chrome://extensions/.
  • Log Files: chrome_debug.log mungkin berisi error yang terkait dengan exploit.

2. Jejak di Android

ArtefakLokasi / Metode
APK mencurigakan/data/app/ atau /data/data/ dengan nama paket tidak dikenal.
Device AdminPengaturan > Keamanan > Administrator Perangkat β€” cari aplikasi yang tidak dikenal.
Accessibility ServicePengaturan > Aksesibilitas β€” cari service mencurigakan dengan hak penuh.
Unknown SourcesJika diaktifkan untuk aplikasi tidak dikenal.
Network Connectionsnetstat atau lsof untuk koneksi ke IP/domain mencurigakan.
SMS/MMSPesan phishing yang mungkin masih ada di inbox.

3. Jejak di iOS

ArtefakLokasi / Metode
Enterprise CertificatePengaturan > Umum > VPN & Manajemen Perangkat β€” cari profil yang tidak dikenal.
MDM ProfilePengaturan > Umum > Manajemen Perangkat β€” profil MDM yang tidak sah.
Safari HistoryPeriksa history untuk link exploit.
Shutdown LogAnalisis shutdown.log (via iShutdown tool) untuk proses aneh saat restart.
Backup AnalysisGunakan MVT untuk memeriksa IOC (domain, IP, file hash).
Battery UsagePengaturan > Baterai β€” aplikasi tidak dikenal yang menggunakan baterai tinggi.

4. Analisis Jaringan

  • Domain IOC: Predator menggunakan domain dengan pola tertentu: domain pendek, typosquatting situs berita, domain dengan TLD tidak biasa (.xyz, .top, .online).
  • IP C2: IP server C2 yang diketahui dari investigasi Citizen Lab dan Google TAG.
  • SSL/TLS Fingerprint: Sertifikat server Intellexa mungkin memiliki karakteristik yang bisa diidentifikasi.

5. MVT (Mobile Verification Toolkit)

MVT dari Amnesty International mendukung deteksi Predator dengan IOC yang diperbarui. Fitur:

  • Memindai backup iOS/Android untuk indikator kompromi.
  • Mengecek domain C2, IP, dan hash file.
  • Menganalisis log sistem untuk anomali.

πŸ“Š Studi Kasus & Penyalahgunaan Terungkap

Kasus 1: Mesir β€” Politisi Oposisi

Pada 2021-2022, beberapa politisi oposisi Mesir di pengasingan (di Eropa) ditarget dengan Predator. Mereka menerima link via WhatsApp/SMS yang mengarah ke domain exploit. Google TAG mengonfirmasi bahwa link tersebut mengeksploitasi Chrome 0-day (CVE-2022-3723). Infeksi berhasil pada beberapa target.

Kasus 2: Armenia β€” Jurnalis

Jurnalis investigasi di Armenia ditarget dengan Predator melalui phishing yang sangat ditargetkan. Link dikirim dari nomor yang menyamar sebagai kolega. Infeksi menggunakan exploit Safari dan Chrome.

Kasus 3: Yunani β€” Aktivis & Politikus

Skandal β€œGreek Watergate” (2022) mengungkap bahwa badan intelijen Yunani (EYP) menggunakan Predator untuk menargetkan anggota parlemen oposisi, jurnalis, dan aktivis. Infeksi dilakukan melalui SMS berisi link exploit. Kasus ini menyebabkan pengunduran diri kepala intelijen Yunani.

Kasus 4: Vietnam? β€” Indikasi Penggunaan

Laporan dari Amnesty International dan Electronic Frontier Foundation menunjukkan kemungkinan penggunaan Predator di Vietnam terhadap aktivis dan blogger, meskipun bukti teknis masih terbatas.


↔️ Dual-Use Spectrum

DEFENSE ◄──────────────────────────────────────────► OFFENSE

Law Enforcement           Intelijen                 Rezim Otoriter
(dengan warrant)          β”‚                         β”‚
β”‚                         Spionase                 Menargetkan oposisi,
β”‚                         terhadap                 aktivis, jurnalis,
β–Ό                         diplomat                 pengacara HAM
Investigasi               β”‚
kriminal serius           β”‚                         β–Ό
β”‚                         β”‚                         Pelanggaran HAM
β”‚                         β”‚                         sistematis
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜

Intellexa mengklaim hanya menjual ke pemerintah untuk tujuan penegakan hukum dan intelijen sah. Namun, bukti menunjukkan penggunaan oleh rezim otoriter untuk menekan oposisi damai. Uni Eropa dan AS telah menjatuhkan sanksi kepada Intellexa Alliance dan entitas terkait.


πŸ›‘οΈ Countermeasures

LapisanTindakan
PenggunaWaspada terhadap link dari sumber tidak dikenal. Jangan klik link pendek atau mencurigakan. Verifikasi identitas pengirim.
BrowserSelalu perbarui Chrome, Safari, Edge ke versi terbaru. Aktifkan β€œEnhanced Safe Browsing” di Chrome. Nonaktifkan JavaScript di browser jika memungkinkan.
MobileAktifkan Lockdown Mode di iOS 16+. Jangan instal profil konfigurasi dari sumber tidak dikenal. Periksa secara berkala Manajemen Perangkat.
AndroidMatikan β€œUnknown Sources”. Jangan instal APK di luar Play Store. Periksa Device Admin dan Accessibility Services secara berkala.
NetworkGunakan VPN terpercaya. Monitor DNS untuk domain mencurigakan. Blokir IOC Intellexa di firewall.
ScanningJalankan MVT secara berkala pada backup iOS/Android. Periksa log shutdown iOS dengan iShutdown.
Incident ResponseJika terinfeksi: isolasi perangkat, jangan restart (preserve memory), ambil forensik image, laporkan ke CERT lokal dan Citizen Lab/Amnesty.

πŸ”— Koneksi dalam Vault

  • pegasus β€” Predator adalah pesaing utama Pegasus, menggunakan pendekatan berbeda (browser exploits vs 0-click iMessage). Keduanya adalah spyware komersial paling canggih.
  • finspy β€” FinSpy lebih fokus desktop, Predator lebih mobile dan browser. Ketiganya adalah contoh spyware komersial yang disalahgunakan.
  • shodan β€” Dapat digunakan untuk mencari server C2 Intellexa yang terekspos.
  • google-dorks β€” Dapat digunakan untuk mencari domain exploit Predator yang terindeks.
  • maltego β€” Untuk memetakan infrastruktur Intellexa dari IOC yang diketahui.
  • xkeyscore β€” Platform SIGINT global dapat mendeteksi traffic C2 Predator di backbone.

πŸ“š Referensi

  • Citizen Lab, Predator: The Mercenary Spyware (2021-2023)
  • Google Threat Analysis Group (TAG), Exposing Cytrox Predator Spyware (2022-2023)
  • Amnesty International, Predator Spyware and the Greek Watergate (2022)
  • Meta, Taking Action Against Surveillance-for-Hire (2022)
  • MITRE ATT&CK: T1189 (Drive-by Compromise), T1203 (Exploitation for Client Execution), T1056.001 (Input Capture: Keylogging)
  • European Parliament, Sanctions Against Intellexa (2023)

Predator Deep Dive | Intellexa Commercial Spyware | Browser Exploitation & Mobile Surveillance