Όταν η Άρτεμις Σίφορντ, τότε manager πολιτικής κυβερνοασφάλειας της Meta, έλαβε ένα SMS για την αναμνηστική δόση του εμβολίου της τον Σεπτέμβριο 2021, δεν υποψιάστηκε τίποτα. Το μήνυμα περιείχε τα ακριβή στοιχεία του ραντεβού της. Όμως, ένας σύνδεσμος επιβεβαίωσης ήταν η «κερκόπορτα» για να μετατραπεί το smartphone της σε έναν προηγμένο ψηφιακό κοριό, μέσω μόλυνσης με το λογισμικό κατασκοπείας Predator.
Τον ίδιο μήνα, ο Νίκος Ανδρουλάκης, τότε Ευρωβουλευτής, δέχθηκε μια παρόμοια επίθεση μέσω ενός παραπλανητικού link που παρέπεμπε στην Εφημερίδα των Συντακτών. Αν και δεν πάτησε τον σύνδεσμο, η απόπειρα αυτή άνοιξε το κουτί της Πανδώρας για ένα σκάνδαλο που έμελλε να συγκλονίσει την ελληνική και ευρωπαϊκή πολιτική σκηνή.
Το Predator έχει σχεδιαστεί για να λειτουργεί κρυφά, χρησιμοποιώντας εξελιγμένες μεθόδους αντι-ανάλυσης, ενώ μπορεί να διαγράψει τα αρχεία καταγραφής σφαλμάτων για να αποκρύψει την παρουσία του.
Τη Δευτέρα, 27 Απριλίου 2026, η υπόθεση αυτή ήρθε ξανά στο προσκήνιο της επικαιρότητας καθώς ο Άρειος Πάγος απέρριψε το αίτημα για ανάσυρση της δικογραφίας από το αρχείο, γεγονός που προκάλεσε την έντονη αντίδραση του προέδρου του ΠΑΣΟΚ, που προανήγγειλε πως θα καταθέσει αίτημα για Εξεταστική Επιτροπή.
Σε αντίθεση με τις κοινές ψηφιακές απάτες που στοχεύουν σε κωδικούς e-banking, το Predator εισβάλλει βαθιά στο λειτουργικό σύστημα και γίνεται κατασκοπευτικός «κοριός» που παρακολουθεί κάθε κίνηση, ήχο και αρχείο του θύματος. Ο Νίκος Ανδρουλάκης απέφυγε τη μόλυνση. Τι γίνεται, όμως, όταν ο «κοριός» μεταδίδεται μέσω μιας απλής διαφήμισης, χωρίς να απαιτείται καμία ενέργεια από τον χρήστη;
Το Predator και η μεθοδολογία της μόλυνσης
Το Predator είναι λογισμικό που ανήκει στην κατηγορία των spyware. Αναπτύχθηκε από την εταιρεία Cytrox, η οποία ιδρύθηκε στη Βόρεια Μακεδονία, και εντάχθηκε στην κοινοπραξία Intellexa, έναν όμιλο εταιρειών που δημιουργήθηκε για να προσφέρει ολοκληρωμένες λύσεις «νόμιμης παρακολούθησης». Έχει σχεδιαστεί ειδικά για κατασκοπεία σε κυβερνητικό επίπεδο εναντίον στόχων υψηλού προφίλ, όπως δημοσιογράφοι, ακτιβιστές και πολιτικοί.
Κεντρικό πρόσωπο είναι ο Tal Dilian, ο οποίος ίδρυσε την Intellexa SA. Αρχικά, το 2019, δραστηριοποιούνταν από την Κύπρο, αλλά αργότερα άνοιξε παραρτήματα στην Ελλάδα και αλλού, αφού αντιμετώπισε προβλήματα με τις κυπριακές αρχές.
Η διαδικασία μόλυνσης ξεκινά συνήθως με ένα εξατομικευμένο μήνυμα SMS ή μέσω εφαρμογών συνομιλίας. Οι χειριστές δημιουργούν ψεύτικα domains που προσομοιάζουν σε πραγματικές ιστοσελίδες, όπως ενημερωτικά sites ή πλατφόρμες κοινωνικής ασφάλισης. Με το πάτημα του συνδέσμου, ο στόχος οδηγείται σε έναν διακομιστή που εκμεταλλεύεται άγνωστες ευπάθειες του λειτουργικού συστήματος — τα λεγόμενα zero-day vulnerabilities, κενά ασφαλείας που ο κατασκευαστής δεν γνωρίζει ακόμα.
Μόλις το λογισμικό εγκατασταθεί, ο χειριστής αποκτά πλήρη πρόσβαση: μπορεί να εξάγει κρυπτογραφημένα μηνύματα από εφαρμογές όπως το Signal και το WhatsApp, να έχει πρόσβαση στο ιστορικό περιήγησης, στις φωτογραφίες, στις επαφές, αλλά και να ενεργοποιεί το μικρόφωνο και την κάμερα χωρίς να γίνει αντιληπτός.
Το Predator βασίζεται συχνότερα σε τακτικές «one-click», που απαιτούν κάποια ενέργεια από το θύμα. «Αυτό απαιτεί τη διατήρηση μεγάλης υποδομής δικτύου από την εταιρεία και τους εκθέτει εάν βρεθεί κάποιο θύμα του λογισμικού», εξηγεί στο WIRED Greece ο Jurre van Bergen, τεχνολόγος στο Security Lab της Amnesty International. Παρ’ όλα αυτά, στην πράξη αποδείχθηκε εξαιρετικά αποτελεσματικό, καθώς οι επιθέσεις συνοδεύονταν από προηγμένες τεχνικές κοινωνικής μηχανικής που έκαναν τους συνδέσμους να φαίνονται απόλυτα αληθοφανείς.
Το Predator έχει σχεδιαστεί για να λειτουργεί κρυφά, χρησιμοποιώντας εξελιγμένες μεθόδους αντι-ανάλυσης, ενώ μπορεί να διαγράψει τα αρχεία καταγραφής σφαλμάτων για να αποκρύψει την παρουσία του. Χρησιμοποιεί επίσης αλυσίδα διακομιστών ανωνυμοποίησης για να κρύψει την τοποθεσία των διακομιστών εντολών και ελέγχου. Σε ορισμένες εκδόσεις παραμένει στη συσκευή ακόμα και μετά από επανεκκίνηση.
Έχουν καταγραφεί και περιπτώσεις όπου μολυσμένα links αναρτήθηκαν δημόσια σε σχόλια στα social media. «Επιτιθέμενοι με πρόσβαση στο σύστημα Predator χρησιμοποιούσαν δημόσιες αναρτήσεις για να ωθήσουν τους στόχους να κάνουν κλικ», αναφέρει ο van Bergen, σημειώνοντας ότι ο κίνδυνος για τυχαίους χρήστες είναι στην πράξη πολύ μικρός — αλλά αυτή η έκθεση δίνει στους ερευνητές ευκαιρίες να εντοπίσουν και να χαρτογραφήσουν την υποδομή του Predator.
Aladdin: Η στροφή στο zero-click και τη μόλυνση μέσω διαφημίσεων
Η Amnesty Tech έχει τεκμηριώσει ένα νέο προϊόν της Intellexa που αλλάζει τα δεδομένα: το Aladdin. Πρόκειται για ένα zero-click σύστημα που μολύνει τη συσκευή του στόχου μέσω διαφημίσεων, χωρίς να απαιτείται αλληλεπίδραση από τον χρήστη.
«Το σύστημα Aladdin μολύνει το τηλέφωνο του στόχου αναγκάζοντας μια κακόβουλη διαφήμιση να εμφανιστεί στη συσκευή του. Η διαφήμιση αυτή μπορεί να προβληθεί σε οποιοδήποτε site που εμφανίζει διαφημίσεις — ακόμα και σε αξιόπιστες ειδησεογραφικές σελίδες — και αρκεί μόνο να τη δει κανείς για να ενεργοποιηθεί η μόλυνση, χωρίς να χρειάζεται κλικ», εξηγεί ο van Bergen.
Για να στοχοποιηθεί το σωστό άτομο, οι χειριστές χρειάζονται ένα μοναδικό αναγνωριστικό. Σύμφωνα με έγγραφα που διέρρευσαν, το Aladdin σχεδιάστηκε να χρησιμοποιεί τη δημόσια IP διεύθυνση του στόχου — την οποία οι χειριστές μπορούν να ζητήσουν από τον εγχώριο πάροχο κινητής τηλεφωνίας. Με αυτή, δημιουργούν μια κακόβουλη διαφήμιση που εμφανίζεται αποκλειστικά στη συσκευή του θύματος, σαν μια απολύτως κανονική διαφήμιση, σε έναν απολύτως κανονικό ιστότοπο.
Τι μπορεί να κάνει ο μέσος χρήστης
Η δύσκολη αλήθεια είναι ότι αν κάποιος με πόρους και κίνητρα αποφασίσει να σε στοχοποιήσει με Predator, η προστασία είναι εξαιρετικά δύσκολη. Ωστόσο, υπάρχουν πράγματα που μειώνουν τον κίνδυνο.
Το πιο βασικό είναι να μην πατάς συνδέσμους που λαμβάνεις μέσω SMS ή μηνυμάτων, ακόμα κι αν φαίνονται αξιόπιστοι — ειδικά αν δημιουργούν αίσθηση επείγοντος. Οι ενημερώσεις λογισμικού πρέπει να γίνονται άμεσα, γιατί συχνά διορθώνουν ευπάθειες που εκμεταλλεύεται το spyware. Για το Aladdin, ο van Bergen συστήνει τη χρήση ad-blockers όπως το uBlock Origin ή το Privacy Badger του EFF.
Όσο για τα σημάδια μόλυνσης, ο van Bergen λέει: «Μπορεί να υπάρχουν ενδείξεις όπως υπερβολική κατανάλωση μπαταρίας, αλλά δεν πρόκειται για σίγουρα σημάδια μόλυνσης». Πιο αξιόπιστες είναι οι ειδοποιήσεις από Apple, Google, Meta και WhatsApp για στόχευση από κυβερνομισθοφόρους. Για όσους ανήκουν σε ομάδες υψηλού κινδύνου — δημοσιογράφοι, ακτιβιστές, πολιτικοί — η συμβουλή είναι να απευθυνθούν σε οργανώσεις με εμπειρία σε forensic analysis, όπως η Amnesty Tech και το Citizen Lab.
Το διεθνές ρυθμιστικό πλαίσιο και η απαγόρευση από το Ισραήλ
Ένα κρίσιμο ερώτημα που προκύπτει είναι γιατί το Predator βρήκε «καταφύγιο» σε ευρωπαϊκές χώρες και όχι στο Ισραήλ. Μετά την παγκόσμια κατακραυγή για τη χρήση του Pegasus, οι ισραηλινές αρχές περιόρισαν τη λίστα των χωρών στις οποίες επιτρέπεται η εξαγωγή τέτοιου λογισμικού. Η Intellexa, υπό την ηγεσία του Tal Dilian — πρώην στελέχους των ισραηλινών μυστικών υπηρεσιών — επέλεξε να μεταφέρει τις δραστηριότητές της στην Ευρώπη για να παρακάμψει αυτούς ακριβώς τους περιορισμούς, εκμεταλλευόμενη τα κενά στις νομοθεσίες περί εξαγωγών ειδών διπλής χρήσης της ΕΕ. Ο Dilian, που έχει καταδικαστεί μαζί με τρία ακόμα άτομα σε φυλάκιση με αναστολή μέχρι την άσκηση έφεσης, έχει δηλώσει πως η τεχνολογία παρέχεται μόνο σε κυβερνήσεις και υπηρεσίες επιβολής του νόμου.
Το σκάνδαλο στην Ελλάδα και η παγκόσμια εξάπλωση
Το σκάνδαλο έλαβε πολιτικές διαστάσεις όταν αποκαλύφθηκε ότι ο δημοσιογράφος Θανάσης Κουκάκης και ο Νίκος Ανδρουλάκης είχαν στοχοποιηθεί με το λογισμικό. Η έρευνα των Αρχών αποκάλυψε δεκάδες στόχους — υπουργούς της κυβέρνησης, στελέχη των ενόπλων δυνάμεων, δημοσιογράφους. Κρίσιμη πτυχή ήταν η χρονική σύμπτωση της παρακολούθησης μέσω Predator με τη «νόμιμη επισύνδεση» από την ΕΥΠ, γεγονός που οδήγησε σε παραιτήσεις υψηλόβαθμων στελεχών στο Μέγαρο Μαξίμου και στην ΕΥΠ το καλοκαίρι του 2022.
Στις 27 Απριλίου 2026, ο εισαγγελέας του Αρείου Πάγου Κωνσταντίνος Τζαβέλλας αποφάσισε να μην ανασύρει από το αρχείο την υπόθεση των παρακολουθήσεων, παρά τα νέα στοιχεία που προέκυψαν στη δίκη για την ύπαρξη κοινού κέντρου ΕΥΠ-Predator. Η απόφαση προκάλεσε αντιδράσεις, καθώς ο κ. Τζαβέλλας είχε διατελέσει αναπληρωτής εισαγγελέας της ΕΥΠ και είχε υπογράψει τις διατάξεις για την παρακολούθηση του δημοσιογράφου Θανάση Κουκάκη. Την Παρασκευή 24 Απριλίου, ο δικηγόρος των θυμάτων Ζαχαρίας Κεσσές είχε καταθέσει αίτημα προς την εισαγγελία ζητώντας να πληροφορηθεί ποιος εισαγγελέας θα αναλάβει την έρευνα, χωρίς να λάβει απάντηση. Η δίκη του Predator αναμένεται να εκδικαστεί σε δεύτερο βαθμό τον Δεκέμβριο.
«Σήμερα η ηγεσία του Αρείου Πάγου προσέβαλε και υπονόμευσε το κύρος της ίδιας της Δικαιοσύνης. Με την απόφαση αυτή κακοποιείται το αίσθημα δικαίου στον βωμό παρασκηνιακών διαπραγματεύσεων του Μεγάρου Μαξίμου με έναν απόστρατο αξιωματικό που εκβιάζει δημοσίως τον πρωθυπουργό», δήλωσε ο Νίκος Ανδρουλάκης και έκανε λόγο για απαξίωση του κράτους δικαίου και της διάκρισης των εξουσιών. «Η Δικαιοσύνη, η ηγεσία της Δικαιοσύνης αρνήθηκε την ελάχιστη ανακριτική πράξη. Δεν κάλεσε τον κ. Ντίλιαν για να προσκομίσει τα στοιχεία στα οποία ο ίδιος αναφέρθηκε, λέγοντας ότι το λογισμικό Predator πωλείται μόνο σε κράτη και κρατικές υπηρεσίες», πρόσθεσε ο πρόεδρος του ΠΑΣΟΚ.
Πάντως, το Predator δεν περιορίστηκε στα ελληνικά σύνορα. Στην Αίγυπτο χρησιμοποιήθηκε για τη στόχευση του Ahmed Eltantawy, βουλευτή που είχε εκφράσει πρόθεση να θέσει υποψηφιότητα στις προεδρικές εκλογές του 2024. Στην Αρμενία χρησιμοποιήθηκε στο πλαίσιο εσωτερικών πολιτικών αντιπαραθέσεων, ενώ ίχνη του εντοπίστηκαν στο Βιετνάμ, τη Μαδαγασκάρη και το Σουδάν.
Τον Μάρτιο του 2024, οι ΗΠΑ επέβαλαν κυρώσεις στην Intellexa και στα ηγετικά της στελέχη, χαρακτηρίζοντάς τα απειλή για την εξωτερική πολιτική και την εθνική ασφάλεια — παγώνοντας τη δυνατότητά της να συναλλάσσεται με αμερικανικά χρηματοπιστωτικά ιδρύματα. Οι κυρώσεις μπορεί να έστειλαν ένα μήνυμα, όμως παραμένει η ανησυχία για εξελίξεις που τρέχουν πιο γρήγορα από τις θεσμικές αντιδράσεις.
