2023年末,一位来自特拉维夫的以色列安全研究员通过LinkedIn收到一个国外工作的机会,薪酬优厚。他被告知这是一家位于西班牙巴塞罗那的“合法”的进攻性安全公司,公司刚刚起步。
但在整个招聘过程中,研究员对TechCrunch表示,事情显得有些不对劲。
“整个保密工作非常奇怪。一些面试我的员工没有使用全名,他们迟迟不透露公司的具体位置和名称。如果一切合法,为什么还要如此保密?”研究员告诉TechCrunch,“这似乎是一家未来可能会受到制裁的公司,事情可能会变得复杂。”
与公司的首席技术官交谈时,研究员被告知该公司只会拥有合法客户,并且不会像其他公司那样向可疑国家出售产品。
Alexey Levin,这家公司的招聘CTO和NSO Group(一家被制裁的间谍软件制造商)前研究员告诉研究员,这家公司叫Palm Beach Networks,负责开发从零日漏洞利用到间谍软件植入物的所有产品。
Levin还告诉研究员,Palm Beach Networks至少有一个美国政府客户。(Levin没有回应评论请求。)
为何选择在巴塞罗那建立间谍软件初创公司?正如许多其他城市一样,研究员表示公司员工告诉他选择巴塞罗那是因为生活条件类似以色列、税收优惠和宜人的气候。
近年来,巴塞罗那已成为间谍软件公司的非传统枢纽之一。据TechCrunch报道及商业记录显示,在过去的几年里,巴塞罗那成为间谍软件公司的聚集地。
这一发展使欧洲成为一个重要的间谍软件制造中心。由于涉及Cyprus、Greece、Hungary和Poland等国家的监视技术丑闻(这些国家都有以色列间谍软件制造商的身影),欧洲与监视技术的关系变得紧张。
Natalia Krapiva是专注于调查和研究间谍软件的非营利组织Access Now的法律顾问。她对TechCrunch表示:“如果一个欧洲主要城市成为间谍软件制造商的中心,则是一个令人担忧的发展。”Krapiva认为,“间谍软件业务与腐败和滥用权力密切相关。”
Krapiva还表示:“西班牙公民、媒体和政策制定者应仔细审查这些企业的运营是否符合国家和欧盟法律,并审查西班牙政府是否可能滥用其监视工具。考虑到西班牙与Pegasus的历史关系。”
John Scott-Railton是公民实验室的研究员,在那里他和他的同事已经调查了十多年使用间谍软件工具进行的滥用行为。Scott-Railton指出,在过去不仅有人权活动家和反对派在非民主国家如Ethiopia和Saudi Arabia受到间谍软件滥用攻击,还有美国外交官以及欧洲边境内的政治家和公民也受到影响。
“这将加剧欧洲的间谍软件危机。如果经验可以作为参考依据的话,在不久的将来这种技术将被用于客户攻击西班牙盟友和欧盟伙伴。”Scott-Railton对TechCrunch说,“允许这种行业繁荣发展的政府冒着失去自己秘密能力和人力资源的风险。这些能力往往会外流至潜在未来的对手。”
阳光、海鲜与间谍软件
除了Palm Beach Networks外,巴塞罗那还有几家其他利用该市阳光明媚、温和气候、新鲜海鲜及活跃外籍社区优势的漏洞利用和间谍软件制造商。
其中包括Paradigm Shift(原Variston的一个分支),Variston在2024年因裁员而陷入困境;以及由Jeremy Fetiveau领导的Epsilon(Fetiveau是U.S.国防巨头L3Harris内一个分部的老手)。Fetiveau没有回应评论请求。
据报道,这座城市还住着一群从新加坡搬到巴塞罗那工作的以色列研究人员。他们专注于开发零日漏洞利用工具。关于这个未命名团队以及Epsilon在巴塞罗那的存在最初是由以色列报纸Haaretz报道的,并引起了当地报纸和新闻网站的关注。
其他网络安全公司在巴塞罗那也有存在感,尽管它们不是总部设在那里。奥地利网络安全公司SAFA首席执行官Andrijana Šekularac根据她的公开LinkedIn资料居住在该市。SAFA曾赞助过 OffensiveCon 和 Hexacon 等进攻性网络安全会议,并至少雇佣了两名曾在间谍软件公司工作的安全研究人员。(Šekularac也没有回应评论请求)
这些零日漏洞利用和间谍软件公司是更广泛的网络安全创业生态系统的一部分。据加泰罗尼亚地区政府统计数据显示,在截至去年的数据中,在巴塞罗那工作的网络安全人员超过10,000人,比五年前增加了约50%。
隐身初创企业:多种名称
Palm Beach Networks迄今为止避免了任何关于侵犯人权行为的公开声明,但该公司确实有一个引人注目的改名历史——一种其他间谍软件供应商过去用来掩盖其企业所有权的方法。
NSO Group及其前身Hacking Team 和 FinFisher 之前也曾多次改名。
Palm Beach Networks的名字起初有些神秘,并只由Levin等人后来才透露。
事实上,Palm Beach Networks可能已经是第二个具有不同身份的企业版本。
名为Defense Prime Inc.的企业于2023年5月11日成为Palm Beach Networks;同年6月16日Head and Tail开始在巴塞罗那运营;而到了2024年6月28日,则解散了Palm Beach Networks。
Defense Prime与Palm Beach Networks似乎由于重叠高管和其他关键人物而存在联系。
一位名叫Sai Gopal的人被列为Head and Tail的授权签字人,并且同样名字的人被列为Defense Prime在佛罗里达州商业记录中的财务主管。(Gopal未能联系上进行评论)
商业记录还显示Alexey Levin——他曾试图招聘这位以色列安全研究员加入Palm Beach Networks——是Head and Tail的董事。
Head and Tail方面没有回复TechCrunch的评论请求。
一位匿名现任网络安全制造商高管告诉TechCrunch:Levin目前仍在Palm Beach Networks工作;此前他曾是NSO Group早期开发者之一,并且也在Candiru工作过。
Head and Tail在其官方网站上并未明确提及开发监视技术的事实;相反它声称解决包括威胁情报、漏洞评估、安全意识培训和事件响应在内的各种网络安全问题。
该公司在巴塞罗那、马德里和塞维利亚等地设有职位空缺。
最终这位以色列研究员拒绝了加入Palm Beach Networks的机会——尽管他知道有朋友告诉他该公司支付给员工薪水惊人地高,并远超该国年度平均工资水平。
这位研究员担心自己可能会像NSO Group的一些员工一样遭受人权丑闻的影响——Facebook封禁并删除他们的个人账户以及美国政府威胁拒绝他们的签证等问题。“我可以在别处得到足够好的钱而不必担心会发生什么或我在为谁工作。”他说,“尤其是当我觉得他们不是一个透明的企业且我不清楚客户是谁时。”
