从维基百科查到一家被媒体曝光过位于特拉维夫的以色列网络武器开发商公司叫Candiru，

https://en.wikipedia.org/wiki/Candiru_(spyware_company)

从曝光的新闻稿简单分析一下candiru的运作模式观察特点进行一些问题分析思考。

一、发展历史

公司最早成立于2014年，人数从2015-2018年到12人扩展至150人，公司名称被曝光后会进行更换从最早的candiru>GrindavikSolutions>LDFAssociates>Taveta>DFAssociates>Greenwick Solutions>Tabatha>saito tech>名称未知，其核心员工从以色列8200部队退役技术人员进行招募。其股东Isaac Zach也投资了另一个网络武器开发商NSO Group。

二、目标候选、渗透方法、能力

目标候选主要关注的场景以Windows、Apple、MacOS、Android等操作系统，也提供用于物理渗透的网络武器,还包括需要交互的钓鱼攻击方法、针对云服务场景的攻击方法。安全厂商披露的在野案例其技术细节指标有曝光0day、特种马,其作业平台架构是否是C/S、B/S 名称未曝光。

其功能特点以”silently deployed”静默部署 ”untraceable”无法溯源

中招后会收集目标候选场景里面的数据，社交数据、通信数据、应用程序、硬件数据麦克风等，其数据回传稳定不会造成中断。

缺点主要是针对性研究目标候选平台版本、适配兼容，只能作为供应商，真正投入实战在体系化的网络任务作业中需要具备更多条件如储备针对各种作业环节的网络武器工具平台，在甲方视角下才能看清供应商视角看不清，需要反馈实战效果，进行迭代和优化。

优点躲在candiru背后的甲方使用作业工具被发现后对手再进行溯源分析追踪形成了一道障碍。

三、商务模式

向客户提供订阅服务，已经做好的工具成品。价格以人力成本、投入时间、和候选目标难度数为客户提供单次或多次的部署服务来计算价格。

有趣的故事，在成立的第一年未进行任何商务活动，再进行拳头产品开发。第二年客户数量起飞合同数增多。

四、作业战果(新闻稿)

1.Candiru网络军火供应商成为焦点

https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/

2.针对中东地区某个目标水坑攻击

https://www.welivesecurity.com/2021/11/16/strategic-web-compromises-middle-east-pinch-candiru/

3.雇佣间谍软件利用谷歌浏览器零日漏洞攻击记者

https://therecord.media/report-mercenary-spyware-exploited-google-chrome-zero-day-to-target-journalists/

4.Candiru的回归：中东的零日

https://decoded.avast.io/janvojtesek/the-return-of-candiru-zero-days-in-the-middle-east/

5.以色列间谍软件公司利用的Chrome漏洞也影响了Edge，Safari

https://www.securityweek.com/chrome-flaw-exploited-israeli-spyware-firm-also-impacts-edge-safari