Biuro Kontroli Aktywów Zagranicznych (OFAC) Departamentu Skarbu USA we wtorek usunęło z listy osób szczególnie oznaczonych (Specially Designated Nationals) trzech powiązanych z Intellexa Consortium — spółką-matką komercyjnego oprogramowania szpiegowskiego znanego jako Predator — osób. Nazwiska usuniętych to: Merom Harpaz, Andrea Nicola Constantino Hermes Gambazzi oraz Sara Aleksandra Fayssal Hamou.
Hamou została objęta sankcjami przez OFAC w marcu 2024 roku, natomiast Harpaz i Gambazzi zostali wymienieni na liście sankcyjnej we wrześniu 2024 roku w związku z udziałem w tworzeniu, obsłudze i dystrybucji Predator. W komunikacie Departamentu Skarbu nie podano konkretnego powodu ich usunięcia z listy.
W tej samej notatce departament wskazał, że decyzja o zdjęciu z listy była częścią «normalnego procesu administracyjnego w odpowiedzi na wniosek o ponowne rozpatrzenie». Dodatkowo zaznaczono, że osoby te «podjęły kroki, by oddzielić się od Intellexa Consortium».
Według informacji podanych wcześniej, Merom Harpaz miał pełnić funkcję menedżera w Intellexa S.A., a Andrea Gambazzi został zidentyfikowany jako właściciel Thalestris Limited oraz Intellexa Limited. Thalestris — opisane przez Departament Skarbu jako spółka posiadająca prawa dystrybucyjne do Predator — realizowała transakcje w imieniu innych podmiotów z konsorcjum i była spółką nadrzędną wobec Intellexa S.A.
Sara Hamou została wskazana przez resort jako jeden z kluczowych „ułatwiaczy” działalności konsorcjum, pracująca jako specjalistka ds. offshoringu korporacyjnego i świadcząca usługi menedżerskie, w tym wynajmowanie przestrzeni biurowej w Grecji na rzecz Intellexa S.A. Nie jest jasne, czy po zdjęciu z listy te osoby nadal zajmują te same stanowiska.
Departament Skarbu wcześniej ostrzegał, że proliferacja komercyjnego oprogramowania szpiegowskiego stanowi rosnące zagrożenie dla bezpieczeństwa Stanów Zjednoczonych i ich obywateli, wzywając do wprowadzenia zasad ograniczających rozwój i użycie takich technologii w sposób, który uwzględnia prawa człowieka i swobody obywatelskie.
Wywołanie wątpliwości wzbudziły komentarze ekspertów zajmujących się prawami cyfrowymi. Natalia Krapiva, starszy radca prawny ds. technologii w organizacji broniącej praw cyfrowych, stwierdziła, że „pochopne decyzje o znoszeniu sankcji wobec osób zaangażowanych w ataki na osoby i interesy USA mogą wysłać sygnał do złych aktorów, że takie działania wiążą się z małymi konsekwencjami — o ile wystarczająco zapłacisz za drogiego lobbystę”.
Decyzja o zdjęciu z listy nastąpiła wkrótce po raporcie organizacji praw człowieka, który ujawnił próbę ataku Predatorem skierowaną przeciwko adwokatce praw człowieka z prowincji Beludżystan w Pakistanie poprzez wiadomość WhatsApp.
Predator, aktywny co najmniej od 2019 roku, został zaprojektowany tak, by działać w ukryciu i pozostawiać niewiele lub żadne ślady włamania, jednocześnie zbierając wrażliwe dane z zainfekowanych urządzeń. Zazwyczaj rozprzestrzenia się za pomocą ataków typu 1-click lub zero-click. Podobnie jak narzędzie Pegasus znane z firmy NSO Group, Predator jest oficjalnie reklamowany jako narzędzie do zwalczania terroryzmu i wsparcia organów ścigania, jednak śledztwa ujawniły wzorzec jego stosowania przeciwko przedstawicielom społeczeństwa obywatelskiego — dziennikarzom, aktywistom i politykom.
Analiza opublikowana w tym miesiącu przez Recorded Future wykazała, że użycie Predatora trwa nadal pomimo zwiększonego nagłośnienia i międzynarodowych działań przeciwko tego typu narzędziom. Firma, należąca do Mastercard, wskazała kluczowe trendy kształtujące ekosystem oprogramowania szpiegowskiego: rosnącą „bałkanizację” branży, gdy przedsiębiorstwa dzielą się wzdłuż linii geopolitycznych — niektóre podmioty objęte sankcjami próbują odzyskać legitymację przez przejęcia, inne przenoszą działalność do regionów o słabszym nadzorze — oraz nasilającą się konkurencję i tajemnicę wokół technologii eksploatacyjnych wysokiej wartości, co zwiększa ryzyko korupcji, wycieków wewnętrznych i ataków na samych dostawców oprogramowania szpiegowskiego.