Intellexa Leaks adı verilen yeni soruşturma son yılların en tartışmalı casus yazılımlarından Predator’ün arkasındaki Intellexa grubunun iç işleyişini ilk kez bu kadar ayrıntılı biçimde ortaya koyuyor. Inside Story, Haaretz ve WAV Research Collective’in ortak çalışmasıyla sızdırılan belgeler, şirket içi dokümanlar, satış ve pazarlama materyalleri ile eğitim videolarından oluşuyor.
Amnesty International’ın Güvenlik Laboratuvarı da teknik ortak olarak bu verileri doğruluyor. Dosya, Predator’ün halen 2025’te insan hakları savunucularına, gazetecilere ve sivil toplum temsilcilerine karşı kullanıldığını, Intellexa’nın ise hem bulaşma yöntemlerini çeşitlendirdiğini hem de müşterilerinin sistemlerine uzaktan erişim kabiliyetini uzun süre elinde tuttuğunu gösteriyor.
İsrail’in casus yazılımları ve yapılanması açığa çıktı!
Intellexa, paralı casus yazılım şirketleri olarak anılan ekosistemin en bilinen aktörlerinden biri. Bu şirketler devletlere satmak üzere ticari casus yazılımlar geliştiriyor. Intellexa’nın ürünleriyle bağlantılı hak ihlalleri daha önce pek çok rapora konu oldu. Ancak şirketin iç yapısı ve teknik kapasitesi büyük ölçüde kapalı kalıyordu.
Intellexa geçmişte ürünleri ve kurumsal yapısı hakkında gönderilen ayrıntılı soru listelerine yanıt vermeyi reddetti. 2023’te ise Yunanistan Veri Koruma Otoritesi incelemelere yanıt vermediği için şirkete para cezası verdi.
Intellexa Leaks kapsamında ortaya çıkan belgeler ise şirketin mobil cihazlardaki açıkları istismar eden Predator platformunu nasıl tasarladığını, hangi bulaşma yöntemlerini kullandığını ve bu sistemi alan devlet müşterilerle ilişkisini somut ayrıntılarla gösteriyor.
Soruşturmanın ilk bölümünde Predator casus yazılımının yapısı ve bulaşma vektörleri yeniden tanımlanıyor. Intellexa’nın ana ürünü dışarıda çoğunlukla Predator adıyla biliniyor. Ancak sızan pazarlama dokümanları sistemin Helios, Nova, Green Arrow ve Red Arrow gibi farklı markalar altında da sunulduğunu gösteriyor.
Ürün zaman içinde evrim geçirse de temel mimarinin değişmediği ve uzaktan özellikle mobil cihazlara sızmaya odaklandığı görülüyor. Predator’ün rakiplerinden önemli farkı neredeyse tamamen 1 tıkla çalışan saldırılara dayanması. Hedefe gönderilen tek kullanımlık zararlı bağlantı açıldığında Android’de Chrome, iOS’ta Safari üzerinden bir tarayıcı açığı tetikleniyor ve cihaza tam casus yazılım yükü indiriliyor.
Pazarlama materyalleri yükleme tamamlandığında sistemi hangi verilerin beklediğini gösteriyor. Signal ve WhatsApp gibi uçtan uca şifreli mesajlaşma uygulamalarının içerikleri, ses kayıtları, e-postalar, konum verileri, ekran görüntüleri ve kamera fotoğrafları, kayıtlı şifreler, rehber ve arama geçmişi ile mikrofonun uzaktan açılması bu yetenekler arasında listeleniyor.
Sızan diyagramlar bulaşma sonrası trafiğin nasıl işlendiğini de açıkça ortaya koyuyor. Hedef telefondan çıkan veriler önce CNC Anonymization Network olarak adlandırılan bir anonimleştirme zincirinden geçiyor.
cncch1l1, cncch1l2 gibi kodlarla isimlendirilen çok katmanlı komuta-kontrol sunucuları operatörün kimliğini gizlemeyi amaçlıyor. Son aşamada ise veriler müşterinin ülkesinde fiziksel olarak bulunan Predator arka uç sunucusuna ulaşıyor. Bu mimari saldırı altyapısını takip etmeye çalışan araştırmacıların işini zorlaştırırken Intellexa’nın sahada çalışan müşteri operatörünü de gölgede tuttuğunu gösteriyor.
1 tıkla saldırıların en zayıf noktası her bağlantının hedefe ulaştığı anda ifşa riski taşıması. Hedef kullanıcı şüphelenip bağlantıyı uzmanlara ilettiğinde hem altyapı hem de operatör açığa çıkabiliyor. Intellexa’nın sızan iç dokümanları bu sınırlamayı aşmak için taktiksel ve stratejik olmak üzere iki ana kategori altında farklı teslim yöntemleri geliştirdiğini gösteriyor.
Triton, Thor ve Oberon adını taşıyan taktiksel vektörler fiziksel yakınlık gerektiren saldırılar için kullanılıyor. Amnesty’nin daha önceki analizleri Triton’un, Samsung Exynos tabanlı cihazları hedefleyen bir baseband istismarı olduğunu teyit etmişti.
Sızan belgeler bu bilgiyi tamamlıyor ve Triton’un 2G baz istasyonu üzerinden cihazı eski protokollere düşürerek çalıştığını belgeliyor. Thor ve Oberon hakkında ayrıntılı teknik bilgi henüz sınırlı. Ancak benzer şekilde cihazın radyo iletişimini veya fiziksel erişimi kullanan yerel saldırılar olduğu değerlendiriliyor.
Stratejik vektörlerde ise operasyon tamamen uzaktan yürütülüyor. Mars ve Jupiter isimli sistemler mobil operatörler veya internet servis sağlayıcılarla iş birliği gerektiren ağ enjeksiyonu altyapıları olarak sunuluyor.
Mars, hedefin HTTP trafiğine sessizce zararlı bağlantı enjekte etme imkanı veriyor. Jupiter ise bu yapının genişletilmiş versiyonu olarak tanımlanıyor ve müşterinin geçerli TLS sertifikalarına sahip olduğu yerel HTTPS sitelerde de enjeksiyon yapılmasına izin veriyor.
Bu sayede operatörler stakeout solution diye tarif edilen bir kurgu içinde yalnızca bekleyerek hedef kullanıcının belirli siteleri ziyaret ettiği anı yakaladıklarında Predator bağlantısını görünmez şekilde araya yerleştirebiliyor. Ancak web trafiğinin neredeyse tamamen HTTPS’e taşınması bu tür klasik ağ saldırılarını giderek zorlaştırıyor.
Bu noktada devreye Intellexa’nın en dikkat çekici yeniliği olan Aladdin giriyor. Sızan belgeler ve Haaretz ile Inside Story’nin haberleri, Aladdin’in reklam teknolojisi ekosistemini istismar ederek uzaktan sıfır tık bulaşma sağlayacak şekilde tasarlandığını gösteriyor.
Sistemin çalışma mantığı saldırganın hazırladığı zararlı reklamları belirli hedeflere gösterme üzerine kurulu. Hedef kullanıcı herhangi bir haber sitesinde veya mobil uygulamada bu reklamı sadece görüntülediği anda cihaz tarayıcı açığı üzerinden istismar ediliyor ve kullanıcı hiçbir bağlantıya tıklamadan Predator yüklemesi başlıyor.
Bu senaryoda en kritik zorluk reklamın tam olarak kime gösterileceğini belirlemek. Intellexa’nın iç sunumları Aladdin’in hedef tanımlayıcısı olarak kamusal IP adresini kullandığını ortaya koyuyor. Müşteri ülke içindeki hedeflerin IP bilgisi yerel operatörlerden alınan kayıtlarla eşleştirilerek belirleniyor. Böylece reklam ağında yalnızca o IP’den gelen isteklere zararlı reklam gösterilecek şekilde kural yazılabiliyor.
Amnesty International’ın altyapı analizleri Aladdin vektörünün en az 2024’te aktif Predator dağıtımları içinde Mars ve Jupiter ile birlikte kullanıldığını gösteriyor. VSquare ağının haberleri ise sistemin 2022’den beri geliştirildiğini ortaya koyarken Recorded Future ve Amnesty’nin ek teknik bulguları 2025’te de reklam tabanlı saldırıların yeni ortaklarla genişletildiğini işaret ediyor.
Araştırmacılar yalnızca Intellexa’nın değil, başka ticari casus yazılım üreticileri ile bazı devlet aktörlerinin de benzer ADINT yani reklam istihbaratı tabanlı bulaşma sistemleri üzerinde çalıştığını tespit ediyor. Bu tablo bilinmeyen bağlantılara tıklamamaya odaklanan klasik dijital hijyen tavsiyelerinin hedefli casusluk vakalarında artık tek başına yeterli olmadığını gösteriyor.
Intellexa Leaks yalnızca saldırı vektörlerini değil, şirketin müşteri sistemleriyle kurduğu ilişkiyi de açığa çıkarıyor. En çarpıcı bölümlerden biri de Microsoft Teams üzerinden kayıt altına alınmış bir iç eğitim videosu.
Burada Intellexa çalışanı TeamViewer üzerinden EAGLE_2 kod adlı bir Predator kurulumuna bağlanıyor. TeamViewer arayüzünde Dragon, Eagle, Falcon, Flamingo, Fox, Glen, Lion, Loco, Phoenix, Rhino gibi en az on müşteri kod adı listeleniyor.
Ekranda görülen alfabetik liste yalnızca F harfine kadar olan kısmı kapsadığı için toplam müşteri sayısının daha yüksek olduğu anlaşılıyor. Şirketin Haziran 2021’de yedi TeamViewer lisansı satın aldığı fatura kayıtları da Predator müşteri sistemlerinin en az o tarihten itibaren uzaktan yönetildiğini gösteriyor. Aynı dönemlerde Amnesty’nin haritaladığı yedi aktif Predator müşterisi bu lisans sayısıyla örtüşüyor.
Eğitim videosunda Instrüktör EAGLE_2 sistemine bağlandıktan sonra doğrudan ElasticSearch tabanlı günlük (log) panelini açıyor. Burada hem müşterinin ülkesinde on-premises kurulu arka uç bileşenlerinden hem de internete açık komuta-kontrol ve enfeksiyon sunucularından gelen günlükler gerçek zamanlı olarak görüntüleniyor.
Ekranda, urlch1l1, file-server, api-server, config-server gibi farklı servislerden gelen kayıtlar sıralanıyor. Bazı günlük satırları video ile aynı güne ait, bazıları ise haftalar öncesine uzanıyor. Belirli bir log çıktısında Kazakistan’daki bir hedefe gönderilen Predator bağlantısı ayrıntılı şekilde görünüyor. Enfeksiyon URL’si, hedef IP adresi ve hedef telefonun yazılım sürümleri bu panelde listeleniyor. Kayıt enfeksiyonun belirli aşamalarda başarısız olduğunu da gösteriyor.
Sızan videoda yalnızca teknik günlükler değil müşteri sisteminin en hassas bileşenlerinden biri olan Predator Delivery Studio’ya (PDS) erişimin de mümkün olduğu işaretleri görülüyor. Uzaktan bağlanılan Ubuntu masaüstünde açık kalan başka bir Chrome penceresi, https://pds.my.admin:8884 adresine giriş ekranı gösteriyor ve kullanıcı adı alanı cyop ifadesiyle doldurulmuş durumda.
Intellexa’nın iç dokümanları, PDS’nin aynı zamanda Cyber Operations Platform (CyOP) olarak adlandırıldığını, hedef ekleme, enfeksiyon bağlantısı üretme ve toplanan verileri görüntüleme işlemlerinin bu panelden yürütüldüğünü ortaya koyuyor.
URL’de yer alan pds ifadesi ve kullanıcı adındaki cyop kısaltması eğitimde kullanılan uzaktan masaüstü makinesinin daha önce bu panele giriş yaptığını gösteriyor. Bu durum Intellexa personelinin yalnızca loglara değil, teorik olarak hedef listelerine ve depolanan fotoğraf, mesaj, parolalar gibi ham gözetim verilerine de erişebilme ihtimalini gündeme getiriyor.
Araştırmacılar müşteri sistemlerinin yerinde kurulumuyla şirket arasında belirli bir mesafe bırakılmasının hem gizlilik hem de hukuki sorumluluk açısından kritik olduğunu hatırlatıyor. Pek çok casus yazılım üreticisi, ürünleri devlete teslim ettikten sonra operasyonel süreçlere karışmadığını, toplanan verileri görmediğini vurgulayan açıklamalar yapıyor.
NSO Group’un 2023’te Avrupa Veri Koruma Denetçisi’ne gönderdiği mektupta Pegasus için kullandığı ifade buna örnek gösteriliyor. Intellexa Leaks’te görülen TeamViewer bağlantıları ve canlı log görüntüleri ise en azından bazı müşteriler için bu ayrımın büyük ölçüde ortadan kalktığını belgelemeye yetiyor.
Haaretz’in 26 Kasım 2025’te Intellexa’ya gönderdiği yazıda, şirketin müşteri sistemlerine dağıtım sonrası erişiminin kapsamı ve bu erişime müşterilerin onay verip vermediği soruldu. 3 Aralık’ta Intellexa kurucusu Tal Dilian adına gönderilen yanıtta, Dilian herhangi bir suç işlemediğini ve Yunanistan’da veya başka bir yerde siber sistem işletmediğini savundu. Ancak bu yanıt sızıntıda görülen erişim yetkilerini ve somut teknik bulguları tek tek ele almadı.
Eğitim videosu Kazakistan ile bağlantılı enfeksiyon altyapısına dair önemli bir detayı da doğruluyor. Panelde kz-news[.]cc ve kz-ordas[.]com alan adları Predator’ün dahili servisleriyle birlikte listeleniyor. Her iki alan adı da Kazakistan’daki gerçek haber sitelerini taklit eden sahte sayfalara işaret ediyor.
Amnesty International ve Fransa merkezli Sekoia şirketi daha önce bu alan adlarını bağımsız teknik izleme sonucu Predator enfeksiyon alan adları olarak işaretlemişti. Eğitim videosunda Intellexa’nın kendi loglarında bu alan adlarının görülmesi altyapının Intellexa’ya ait olduğunu kesin biçimde teyit ediyor.
Aynı panelde EAGLE sisteminin Kazakistan’daki hedeflere karşı kullanıldığına dair loglar da bulunduğu için Amnesty söz konusu müşteri kod adını Kazakistan’la ilişkilendiriyor. Kurum Predator Files projesinde de Kazakistan’ı Intellexa müşterisi olarak tanımlamış ve bu tespit Recorded Future gibi diğer araştırma grupları tarafından da doğrulanmıştı. Kazakistan’da Predator mağduru bireyler henüz resmen tespit edilmiş değil. Ancak daha önce en az dört genç aktivistin Pegasus’la hacklendiği vakalar belgelenmişti.
Sızıntının bir diğer kritik parçası OPSEC başlıklı iç doküman. Intellexa mühendisleri bu metinde Predator ajanının cihaz üzerinde bıraktığı izleri asgari düzeye indirmek için alınan önlemleri, saklama modülünün yapısını ve adli analizden kaçmak için kullanılan teknikleri tarif ediyor.
Metinde veri depolama için kullanılan AES anahtarının RSA_PKEY etiketiyle tanımlanan bir RSA açık anahtarıyla şifrelendiği, fs.db adlı SQLite veritabanının sqlcipher ile parola korumalı olduğu, bu parolanın ise FS_KEY alanında tutulduğu belirtiliyor.
Belgede ayrıca Predator’ün cihazın pil seviyesi, şarj durumu ve bağlantı türüne göre üç farklı öncelik seviyesinde veri sızdırdığı, depolama limitlerinin hedef cihazın hafızasını doldurmamak için ayarlandığı ve guard modülünün belirli durumlarda ajanı kendini imha etmeye zorladığı açıklanıyor. C2 sunucusuna giden büyük boyutlu mesajlar için tanımlanan multipart sınır değerlerinin her müşteri için farklı ayarlanması gerektiği de aynı dokümanda vurgulanıyor.
Bu teknik ayrıntılar sızdırılan OPSEC belgesi ile sahada yakalanan gerçek Predator örnekleri arasında doğrudan eşleşme kurulmasını sağlıyor. Citizen Lab’in, Mısır’da muhalif isim Ayman Nour ve çevresine yönelik saldırıları incelerken elde ettiği Android ve iOS Predator örneklerinde aynı RSA_PKEY ve FS_KEY yapılandırmalarına, fs.db dosya adına ve Android tarafındaki pred.so kütüphanesine rastlandı.
Cisco Talos’un 2023 tarihli teknik analizinde de benzer göstergeler bulundu. Bu örtüşme Intellexa’nın iç teknik belgesinde tarif edilen ajan ile Mısır vakasında kullanılan casus yazılımın aynı olduğu anlamına geliyor ve saldırıların Predator’e ait olduğunu kesinleştiriyor.
Citizen Lab’in raporunda Mısır’da enfekte edilen bir iPhone’da /private/var/tmp/UserEventAgent ve /private/var/tmp/com.apple.WebKit.Networking yollarından çalışan sahte süreçler tespit edilmişti.
Normalde Apple’ın özgün süreçleri bu dizinden çalışmıyor. Aynı dizin ve süreç isimleri 2020-2021 yıllarında Yunan gazeteci Thanasis Koukakis’in telefonunda da bulundu. Bu birebir eşleşme Yunanistan ve Mısır’daki saldırıların aynı Predator ajanı tarafından yürütüldüğünü net biçimde gösteriyor.
Intellexa Leaks, Predator’ün halen 2025’te aktif olduğunu ortaya koyan yeni vakaları da içeriyor. Amnesty International Güvenlik Laboratuvarı bu dosyadan bağımsız yürüttüğü adli incelemelerde Pakistan’ın Belucistan bölgesinde bir insan hakları avukatına yönelik saldırı girişimini belgeledi.
2025 yazında avukatın WhatsApp hesabına bilinmeyen bir numaradan zararlı bağlantı içeren mesaj gönderildi. Bağlantının tek tıkla Predator enfeksiyonu başlatan tipik yapıyı taşıdığı ve sunucu davranışının daha önce bilinen Predator altyapısıyla uyumlu olduğu tespit edildi.
Bu bulgu Predator’ün Pakistan’da kullanıldığına dair bilinen ilk teknik kanıt oldu. Olay bölgede insan hakları savunucularına yönelik baskının, internet kesintilerinin ve iletişim kısıtlamalarının arttığı bir dönemde gerçekleşti. Amnesty Afrika’da ortaya çıkan yeni Predator vakalarını da içeren ayrıntılı raporları önümüzdeki dönemde yayımlayacağını duyurdu.
Intellexa Leaks soruşturması boyunca Amnesty’nin teknik analizi Google’ın Threat Analysis Group’u ve Recorded Future gibi diğer araştırma ekiplerinin bağımsız bulgularıyla da kesişti. Google TAG, Intellexa faaliyetlerine ilişkin kendi görünürlüğüne dayanarak yeni bir teknik brifing yayımladı ve Predator hedefi olduğundan şüphelenilen kullanıcılara uyarı bildirimleri gönderdi.
Şirket Pakistan, Kazakistan, Angola, Mısır, Özbekistan, Suudi Arabistan ve Tacikistan dahil birçok ülkede yüzlerce hesabın Predator ile hedef alındığını açıkladı. Böylece sızan belgeler hem sivil toplum kuruluşlarının hem de teknoloji şirketlerinin uzun süredir sürdürdüğü teknik takibi doğrulayan ek kanıtlar üretmiş oldu.
Tüm bu bulgular ticari casus yazılım şirketlerinin hukuki sorumluluğu tartışmasını da yeniden gündeme taşıyor. Intellexa’nın müşterilere teslim ettiği sistemlere uzaktan erişebilmesi, canlı gözetim operasyonlarının teknik ayrıntılarını görebilmesi ve gerektiğinde Predator panellerine ulaşabilmesi şirketin yalnızca teknik sağlayıcı konumundan daha ileri bir rol oynayıp oynamadığı sorusunu doğuruyor.
Yunanistan’da süren ve iletişim gizliliğini ihlal suçlamasıyla dört kişinin yargılandığı davada Intellexa bağlantılı üç isim de sanıklar arasında yer alıyor. Dava, aralarında Thanasis Koukakis’in de bulunduğu çok sayıda kişinin Predator ile hacklenmesine odaklanıyor. Sızan belgelerde görülen uzaktan erişim ve log görüntüleri Intellexa’nın bu tür operasyonlarda ne ölçüde görünür olduğu sorusunu yeni delillerle destekliyor.
Intellexa Leaks dosyası yayımlandığı tarihte Haaretz soruşturmada ulaşılan teknik ve kurumsal bulguları Intellexa’ya ileterek ayrıntılı yanıt talep etti. Şirket adına gönderilen tek yanıt kurucu Tal Dilian’ın herhangi bir suç işlemediğini ve hiçbir yerde siber sistem işletmediğini beyan eden kısa bir mektup oldu.
Mektup Predator’ün Pakistan’daki insan hakları avukatından Mısır ve Yunanistan’daki gazetecilere ve Kazakistan’daki sahte haber sitelerine kadar uzanan izleri tek tek ele almıyor. Sızan belgeler ve adli bulgular ise Predator casus yazılımının hala çok sayıda ülkede sivil toplum üzerinde yoğun baskı aracı olarak kullanıldığını, Intellexa’nın ise hem saldırı vektörlerini çeşitlendirerek hem de müşteri sistemleriyle yakın teknik bağlar kurarak bu ağın merkezinde yer almaya devam ettiğini gösteriyor.
