Menjelang akhir tahun 2023, seorang peneliti keamanan Israel dari Tel Aviv mengatakan bahwa dia didekati di LinkedIn dengan peluang untuk bekerja di luar negeri dengan “gaji yang bagus.” Dia mengatakan bahwa departemen SDM perusahaan tersebut memberitahunya bahwa itu adalah perusahaan keamanan ofensif yang “sah” yang memulai dari awal di Barcelona, Spanyol.
Namun selama seluruh proses perekrutan, peneliti menceritakan kepada TechCrunch, ada yang terasa agak aneh.
“Seluruh kerahasiaannya sangat aneh. Beberapa karyawan yang mewawancarai saya tidak menyebutkan nama lengkapnya, mereka butuh waktu lama untuk mengungkapkan di mana perusahaan itu berada, apalagi namanya. Mengapa dirahasiakan jika semuanya sah?” kata peneliti kepada TechCrunch. “Sepertinya sebuah perusahaan mungkin akan terkena sanksi di masa depan, dan keadaan mungkin akan menjadi kotor.”
Ketika dia berbicara dengan chief technology officer perusahaan tersebut, peneliti tersebut mengatakan bahwa dia diberi tahu sesuatu seperti, “kami hanya akan memiliki pelanggan yang sah dan tidak seperti perusahaan lain, kami tidak akan menjual ke negara yang tidak jelas.”
Alexei Levin, CTO yang mempekerjakannya dan mantan peneliti di pembuat spyware NSO Group yang terkena sanksi, mengatakan kepada peneliti bahwa perusahaan yang mencoba mempekerjakannya bernama Palm Beach Networks, dan bahwa perusahaan tersebut mengembangkan segalanya mulai dari eksploitasi zero-day yang digunakan untuk menyusupi perangkat hingga implan spyware itu sendiri, mengacu pada perangkat lunak pengawasan yang diinstal pada perangkat target, menurut peneliti.
Peneliti mengatakan bahwa Levin juga memberitahunya bahwa Palm Beach Networks memiliki setidaknya satu pelanggan pemerintah AS. (Levin tidak menanggapi permintaan komentar.)
Namun mengapa startup spyware ditemukan di Barcelona, yang beberapa tahun sebelumnya menjadi pusat skandal politik luas ketika pejabat pemerintah Spanyol menggunakan spyware untuk menargetkan politisi lokal yang mendorong kemerdekaan? Sama seperti banyak startup lain di kota ini; Peneliti mengatakan bahwa karyawan perusahaan mengatakan kepadanya bahwa karena tinggal di kota mirip dengan tinggal di Israel, maka ada manfaat pajak yang baikdan cuaca bagus.
Itulah beberapa alasan mengapa dalam beberapa tahun terakhir, Barcelona sepertinya tidak menjadi pusat perusahaan spyware, menurut beberapa orang yang bekerja di industri keamanan siber ofensif yang berbicara dengan TechCrunch, serta catatan bisnis yang telah kami lihat.
Menjadikan Barcelona sebagai pusat regional yang penting bagi perusahaan-perusahaan keamanan siber yang ofensif menempatkan masalah spyware tepat di depan pintu Eropa, yang memiliki hubungan yang tidak baik dengan teknologi pengawasan, karena skandal di SiprusYunani, Hongariadan Polandia — semuanya melibatkan pembuat spyware Israel.
“Ini merupakan perkembangan yang memprihatinkan jika sebuah kota besar di Eropa menjadi pusat pembuat spyware,” Natalia Krapiva, penasihat hukum di lembaga nirlaba Access Now, yang berspesialisasi dalam menyelidiki dan meneliti spyware, mengatakan kepada TechCrunch. Krapiva mengatakan bahwa bisnis spyware “berhubungan dengan korupsi dan penyalahgunaan kekuasaan.”
“Warga Spanyol, media, dan pembuat kebijakan harus hati-hati memeriksa bisnis-bisnis ini dalam hal apakah operasi mereka konsisten dengan undang-undang nasional dan UE dan apakah pemerintah Spanyol mungkin terlibat dalam penyalahgunaan alat pengawasan mereka, terutama mengingat sejarah Spanyol dengan Pegasus,” kata dia. Krapiva.
John Scott-Railton, peneliti senior di Citizen Lab, tempat dia dan rekan-rekannya selama lebih dari satu dekade menyelidiki pelanggaran yang dilakukan dengan alat spyware, juga menyatakan keprihatinannya. Scott-Railton mencatat bahwa di masa lalu terdapat kasus-kasus penyalahgunaan spyware tidak hanya terhadap aktivis hak asasi manusia dan pembangkang di negara-negara non-demokratis seperti Ethiopia dan Arab Saudi, tetapi juga terhadap diplomat AS dan menargetkan individu, termasuk politisi dan warga negara di wilayah Eropa.
“Hal ini akan menambah pemicu krisis spyware di Eropa. Jika pengalaman adalah panduan, hanya masalah waktu sebelum teknologi ini digunakan oleh pelanggan melawan sekutu Spanyol dan mitra UE,” kata Scott-Railton kepada TechCrunch. “Pemerintah yang membiarkan industri ini berkembang mengambil risiko dengan kemampuan rahasia dan sumber daya manusia mereka sendiri. Kemampuan ini cenderung terkuras habis, termasuk musuh potensial di masa depan, ketika pengembang spyware dan eksploitasi datang ke kota dan mulai merekrut.”
Matahari, makanan laut, dan spyware
Selain Palm Beach Networks, seperti yang dikenal pada saat itu, Barcelona adalah rumah bagi beberapa pembuat eksploitasi dan spyware lainnya yang juga memanfaatkan cuaca kota yang cerah dan sedang, makanan laut segar, dan komunitas ekspatriat yang dinamis.
Diantaranya adalah Paradigm Shift, sebuah spin-off dari startup Variston yang mengalami kesulitan, yang kehilangan staf dan berjuang untuk bertahan hidup pada tahun 2024; dan Epsilon, yang dipimpin oleh Jeremy Fetiveau, seorang veteran industri yang pernah bekerja di sebuah divisi di raksasa pertahanan AS L3Harris yang didirikan setelah perusahaan tersebut mengakuisisi startup Australia, Azimuth.” Fetiveau tidak membalas permintaan komentar.
Kota ini dikatakan juga merupakan rumah bagi sekelompok peneliti Israel yang tidak disebutkan namanya yang pindah ke Barcelona dari Singapura untuk mengembangkan eksploitasi zero-day. Keberadaan tim yang tidak disebutkan namanya ini serta kehadiran Epsilon di Barcelona pertama kali dilaporkan oleh surat kabar Israel Haaretzyang artikelnya memicu liputan lokal surat kabar dan berita situs web.
Perusahaan keamanan siber lainnya juga hadir di Barcelona, meskipun mereka tidak berkantor pusat di sana. Andrijana Šekularac, kepala eksekutif perusahaan keamanan siber Austria SAFA, tinggal di kota tersebut, menurut profil LinkedIn publiknya. SAFA telah mensponsori konferensi keamanan siber yang ofensif, termasuk Serangan Serangan Dan segi enamdan mempekerjakan setidaknya dua peneliti keamanan dengan pengalaman masa lalu di perusahaan spyware, menurut profil LinkedIn publik mereka. Šekularac juga tidak menanggapi permintaan komentar.
Perusahaan zero-day dan spyware ini adalah bagian dari ekosistem keamanan siber dan startup yang lebih luas di Barcelona. Pada tahun lalu, menurut pemerintah daerah Catalanterdapat lebih dari 10.000 orang yang bekerja di lebih dari 500 perusahaan keamanan siber di Barcelona, atau sekitar 50% lebih banyak pekerja dibandingkan lima tahun sebelumnya.
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang Epsilon, Head and Tail, Paradigm Shift, atau pembuat spyware pemerintah lainnya? Dari perangkat yang tidak berfungsi, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Telegram dan Keybase @lorenzofb, atau email. Anda juga dapat menghubungi TechCrunch melalui SecureDrop.
Barcelona bukan hanya sarang bagi para pembuat teknologi pengawasan, namun juga startup pada umumnya beberapa peringkat kota ini merupakan salah satu pusat startup terbaik di Eropa. Kota ini adalah rumah bagi startup pengiriman makanan Glovo, yang pesaingnya DeliveryHero bernilai €2,3 miliar pada tahun 2021 ketika mengakuisisi saham mayoritas di perusahaan Catalan; startup ortodontik Impress, yang mengumpulkan $125 juta pada tahun 2022 dan $114 juta pada tahun 2024; dan platform manajemen perjalanan bisnis TravelPerk, yang mengumpulkan $105 juta pada tahun 2024; di antara lebih dari 2.200 startup lainnya, menurut Barcelona dan Catalonia Startup Hubsebuah proyek pemerintah daerah yang melacak ekosistem startup di wilayah tersebut.
Kota ini menarik bagi para pekerja karena biaya hidup lebih murah dibandingkan pusat startup Eropa lainnya seperti London, Amsterdam, dan Berlin. Lalu, mungkin ada alasan yang lebih jelas, setidaknya bagi siapa pun yang pernah ke Barcelona: Kota ini memiliki pantai yang indah, mirip dengan Tel Aviv, Siprus, dan Yunani, tempat yang pernah menjadi rumah bagi perusahaan spyware seperti NSO Group, lingkarandan Intellexa.
Ada juga alasan lain, selain daya tarik kota tersebut, yang secara khusus menarik peneliti keamanan Israel ke Barcelona. Seperti yang dilaporkan Haaretz pada akhir Desember 2024, Israel menjadi lebih ketat dalam memberikan izin untuk mengekspor spyware ke negara lain setelah skandal yang melibatkan NSO Group, sehingga membuka pintu bagi perusahaan untuk pindah ke luar negeri. Saat ini, lebih sulit bagi perusahaan untuk mengekspor spyware dari Israel ke seluruh dunia, termasuk Uni Eropa, dibandingkan dari dalam blok tersebut sendiri.
Seseorang mengatakan kepada Haaretz bahwa proses ini bukanlah “emigrasi ke Spanyol, melainkan pengusiran ke Spanyol.”
Sementara Paradigma Bergeser secara terbuka mengiklankan dirinya sendiri sebagai perusahaan keamanan siber yang ofensif, dengan lowongan pekerjaan yang sesuai dengan jenis bisnis ini, perusahaan lain tidak setransparan Variston dulu. Pergeseran Paradigma dipimpin oleh Leone Pontorieri, menurut catatan bisnis perusahaan, serta Filippo Roncari dan Simone Ferrini, menurut profil LinkedIn publik mereka. Ketiganya adalah bagian dari startup Italia yang diakuisisi oleh Variston pada tahun 2018, ketika perusahaan tersebut diluncurkan di Barcelona, dan salah satu perusahaan spyware pertama yang memulai operasinya di kota Catalan.
Perwakilan Paradigm Shift tidak menanggapi permintaan komentar.
Startup tersembunyi dengan banyak nama
Palm Beach Networks sejauh ini menghindari klaim publik atas keterlibatannya dalam pelanggaran hak asasi manusia, tidak seperti yang dilakukan pembuat spyware NSO Group, dan sebelumnya Tim Peretasan dan FinFisher, di masa lalu. Namun perusahaan tersebut memang memiliki sejarah yang menarik dalam mengubah nama, sebuah strategi yang bisa dilakukan vendor spyware lain sebelumnya telah menggunakannya untuk menutupi kepemilikan perusahaan mereka. Pembuat spyware Israel, Candiru, mengganti mereknya beberapa kali sebelum perusahaan tersebut ditambahkan ke daftar larangan perdagangan pemerintah AS pada tahun 2021, dan NSO sendiri telah melakukannya struktur perusahaan yang kompleks.
Nama Palm Beach Networks “sedikit rahasia dan hanya disebutkan oleh Levin dan yang lainnya pada tahap selanjutnya,” menurut peneliti Israel tersebut.
Ternyata, Palm Beach Networks mungkin sudah menjadi nama yang sudah ketinggalan zaman, dan merupakan iterasi kedua dari sebuah startup dengan identitas berbeda.
Sebuah perusahaan bernama Defense Prime Inc. menjadi Palm Beach Networks pada 11 Mei 2023. Pada tanggal 16 Juni 2023 sebuah perusahaan bernama Head and Tail memulai operasi di Barcelona. Kemudian pada tanggal 28 Juni 2024, Palm Beach Networks dibubarkanmenurut catatan bisnis yang diajukan di Florida dan Spanyol.
Defense Prime dan Palm Beach Networks tampaknya terkait dengan Head and Tail karena adanya tumpang tindih eksekutif dan tokoh kunci.
Seseorang bernama Sai Gopal terdaftar sebagai penandatangan resmi Head and Tail dalam catatan bisnis Spanyol, dan seseorang dengan nama yang sama terdaftar sebagai bendahara catatan bisnis Defense Prime di Florida. Gopal tidak dapat dihubungi untuk memberikan komentar.
Catatan bisnis juga menunjukkan Alexei Levin, CTO yang mencoba mempekerjakan peneliti keamanan Israel untuk Palm Beach Networks, adalah direktur Head and Tail. Perwakilan dari Head and Tail tidak membalas permintaan komentar TechCrunch.
Seorang eksekutif saat ini di pembuat spyware, yang meminta untuk tidak disebutkan namanya, mengatakan kepada TechCrunch bahwa Levin bekerja di Palm Beach Networks. Sebelumnya, kata eksekutif tersebut, Levin merupakan pengembang awal di NSO Group, dan kemudian juga bekerja di Candiru.
Di situs resminyaHead and Tail tidak menyebutkan secara eksplisit fakta bahwa mereka mengembangkan teknologi pengawasan, namun mengatakan bahwa mereka mengatasi “berbagai masalah keamanan siber, termasuk intelijen ancaman, penilaian kerentanan, pelatihan kesadaran keamanan, dan respons terhadap insiden.” Perusahaan memiliki daftar pekerjaan untuk Barcelona, Madrid, dan Sevilla.
Pada akhirnya, peneliti Israel tersebut menolak kesempatan untuk bekerja di Palm Beach Networks, meskipun orang-orang yang dia kenal mengatakan kepadanya bahwa perusahaan tersebut memberikan gaji yang sangat besar kepada beberapa karyawannya yang jauh melebihi rata-rata kotor tahunan negara tersebut.
Peneliti mengatakan dia khawatir dia akan berakhir seperti beberapa karyawan NSO Group, yang harus menghadapi dampak dari skandal hak asasi manusia, Facebook memblokir dan menghapus akun pribadi merekadan pemerintah AS mengancam akan menolak visa mereka.
“Saya bisa mendapatkan uang yang cukup di tempat lain dan tidak perlu khawatir tentang apa yang akan terjadi atau untuk siapa saya bekerja,” kata peneliti tersebut, “terutama ketika saya merasa mereka bukan perusahaan yang transparan dan saya tidak tahu siapa yang bertanggung jawab. pelanggan adalah.”
