Google关注商业间谍软件供应商，披露两大结合运用多个零时差漏洞与既有漏洞（N-day）的间谍活动，这些极具针对性的活动锁定Android、iOS和Chrome热门平台，Google提到，根据他们的调查，商业监控供应商现在技术力提升，也拥有过去只有政府层级才能开发和操作漏洞的能力。

第一个间谍活动被称为“Your missed parcel”，Google发现通过使用Android和iOS的零时差漏洞利用链，恶意攻击者可以发送短信息给位于意大利、马来西亚和哈萨克斯坦的用户，消息内的连接会将用户导向恶意页面，之后再重定向到诸如货运或是物流公司的合法页面。

在iOS上，恶意页面使用WebKit远程程序代码执行漏洞CVE-2022-42856，以及CVE-2021-30900沙盒逃逸和特权提升漏洞CVE-2021-30900，在iOS上安装恶意Stager打开后门，回传设备的GPS位置，并且让攻击者可以于设备安装恶意程序。

而Android则需要用到Arm GPU手机上Chrome 106之前版本的漏洞，用到的漏洞包括类型混淆漏洞CVE-2022-3723、Chrome GPU旁路漏洞CVE-2022-4135、Arm特权提升漏洞CVE-2022-38181，而对三星用户，网站还会通过意图重定向功能（Intent Redirection）从三星网际网络浏览器打开Chrome。用户更新到Chrome 108便能免于受到攻击。

第二个间谍活动，则是针对三星网际网络浏览器的漏洞入侵链，恶意攻击者同样是通过短信发送一次性连接，到位于阿联酋的设备，将用户导向到一个页面，该页面使用商业间谍软件供应商Variston所开发的Heliconia框架，而漏洞利用链使用了一个以C++开发，且功能齐全的Android间谍软件组件，包括可以解密和截取各种聊天和浏览器应用程序资料的函数库，进而关注受害者的社交和网页浏览行为。

这个活动主要影响使用Chromium 102版本的三星浏览器，恶意攻击者总共使用了6个漏洞，包括Chrome的类型混淆漏洞CVE-2022-4262、沙盒逃逸漏洞CVE-2022-3038，以及Mali GPU核心驱动程序授给攻击者访问系统权限的CVE-2022-22706漏洞，还有提供攻击者核心读写访问权限的Linux核心声音子系统漏洞CVE-2023-0266，恶意攻击者也利用了多个核心资讯泄漏漏洞，包括CVE-2022-22706和CVE-2023-0266。

每一个漏洞软件原厂皆已修复，但可能因为修复时间差，或是因为版本更新节奏的关系，供应商并没有及时修补程序，使得攻击者有机可乘。通过结合零时差漏洞和既有漏洞，商业间谍软件供应商能够开发关注用户的工具，Google提到，这些供应商向政府出售漏洞技术和监控功能，使政府能够关注异议份子、记者、人权工作者和反对党政客。