Internationale Organisationen für digitale Rechte und Cybersicherheit, darunter Access Now, Lookout und SMEX, haben eine langfristige Hack-for-Hire-Phishingkampagne gegen Journalistinnen, Aktivisten und Staatsbedienstete in Ländern des Nahen Ostens und Nordafrikas (MENA) dokumentiert. Die technische Analyse legt nahe, dass hinter der Operation eine Söldnerstruktur mit Bezügen zu indischen staatlichen Interessen und einem bereits bekannten Bedrohungscluster namens Bitter stehen könnte.
Gezieltes Phishing auf Apple- und Google-Konten von Journalisten
Besonders im Fokus standen ägyptische Regierungskritiker wie Mostafa Al-A’sar und Ahmed Eltantawy. Zwischen Oktober 2023 und Januar 2024 wurden sie wiederholt mit Spear-Phishing-Angriffen konfrontiert, die speziell auf ihre Apple‑ und Google‑Konten abzielten. Die Angreifer setzten täuschend echt gestaltete Login-Seiten ein, um Zugangsdaten und Two-Factor-Authentication-Codes (2FA) abzugreifen.
Ein weiterer dokumentierter Fall betrifft einen anonymen libanesischen Journalisten, der im Mai 2025 über iMessage und WhatsApp Nachrichten erhielt, die angeblich vom Apple-Support stammten. Die enthaltenen Links führten auf gefälschte Seiten zur „Kontenüberprüfung“, auf denen das komplette Apple-ID‑Credential-Set (Benutzername, Passwort, 2FA-Code) abgefragt wurde. Laut SMEX tarnten sich mehrere dieser Angriffe explizit als Apple-Support-Kommunikation und richteten sich vorrangig gegen Nutzerinnen der Apple-Ökosysteme, während gleichzeitig Interesse an Konten in Signal und Telegram erkennbar war.
Missbrauch von OAuth 2.0: Konsens-Phishing gegen Google-Konten
Im Fall von Mostafa Al-A’sar kombinierte die Gruppe Social Engineering über LinkedIn mit einem technisch ausgefeilteren Angriff auf das Google-Konto. Ein gefälschtes Profil mit dem Namen „Haifa Kareem“ trat als potenzielle Arbeitgeberin auf und bat um Kontaktdaten. Kurz darauf, am 24. Januar 2024, erhielt der Journalist eine E-Mail mit einer Einladung zu einem vermeintlichen Zoom-Meeting über einen Rebrandly-Link.
Die Weiterleitung führte jedoch nicht zu Zoom, sondern zu einer legitimen OAuth‑Autorisierungsseite von Google für eine verdächtige Web-App unter der Domain en-account.info. Dieses Muster wird als konsensbasierter OAuth-Phishing-Angriff bezeichnet: Statt Passwörter zu stehlen, verleiten Angreifer Betroffene dazu, einer bösartigen Anwendung selbst weitreichende Zugriffsrechte auf E-Mails, Kontakte und Dateien zu gewähren. Ist der Nutzer bereits bei Google angemeldet, erscheint lediglich der vertraute Berechtigungsdialog – 2FA wird damit elegant umgangen, da die App einen dauerhaften Zugriffstoken erhält.
Angreifer-Infrastruktur und Verbindung zu Android-Spyware ProSpy
Die untersuchten Vorfälle zeigen eine Reihe gemeinsam genutzter Domains. Im Mittelpunkt steht die Domain com-ae[.]net, die laut Analysen des Sicherheitsunternehmens ESET bereits in einer früheren Android-Spyware-Kampagne eine Rolle spielte. Über damit verknüpfte Webseiten, die sich als offizielle Seiten von Signal, ToTok oder Botim ausgaben, wurden im Oktober 2025 die Android-Trojaner ProSpy und ToSpy vor allem an Nutzer in den Vereinigten Arabischen Emiraten ausgeliefert.
Eine dieser Domains, encryption-plug-in-signal.com-ae[.]net, posierte als nicht existierendes „Verschlüsselungs-Plugin“ für Signal. Nach Installation erhielt die Schadsoftware Zugriff auf Kontakte, SMS, Gerätemetadaten und lokale Dateien und verwandelte das Smartphone in eine umfassende Überwachungsplattform. In den Angriffen auf die drei dokumentierten Journalistenziele wurden zwar keine direkten Beweise für eine Spyware-Installation gefunden, jedoch ist die Überschneidung der Domain-Infrastruktur und Social-Engineering-Muster ein starkes Indiz, dass dieselben Kanäle auch zur Spyware-Verteilung dienen können.
Bitter-Cluster, Dracarys-Malware und das Geschäftsmodell Hack-for-Hire
Die Sicherheitsfirma Lookout bewertet die Kampagne als professionelle Hack-for-Hire-Operation, die dem bekannten Bedrohungscluster Bitter zugerechnet werden kann. Bitter wird in der Branche als Akteur mit kiberespionageorientiertem Profil eingestuft, der mutmaßlich im Interesse indischer staatlicher Stellen agiert und seit mindestens 2022 aktiv ist.
Die Verbindung ergibt sich aus der Infrastruktur: Die Domain com-ae[.]net ist technisch mit youtubepremiumapp[.]com verknüpft – einer Domain, die nach Recherchen von Cyble und Meta bereits 2022 in einer Kampagne zur Verbreitung der Android-Malware Dracarys genutzt wurde. Dracarys wurde damals über gefälschte Download-Seiten für YouTube, Signal, Telegram und WhatsApp verteilt.
Lookout verweist zudem auf strukturelle Ähnlichkeiten zwischen Dracarys und der neueren Spyware ProSpy. Beide nutzen eine vergleichbare modulare „Worker“-Architektur zur Ausführung von Aufgaben und nummerierte C2-Befehle (Command-and-Control), unterscheiden sich jedoch in der Implementierung: ProSpy ist in Kotlin entwickelt, Dracarys basierte auf Java, und auch die Präfixe der C2-Endpunkte („v3“ vs. „r3“) variieren. Der grundlegende Steuerungsansatz bleibt jedoch konsistent, was auf eine gemeinsame Entwicklerbasis oder eine enge technische Kooperation schließen lässt.
Bemerkenswert ist, dass Bitter bislang vor allem mit staatlich motivierten Ausspähaktionen und nicht mit systematischen Angriffen auf zivilgesellschaftliche Akteure in Verbindung gebracht wurde. Dies eröffnet zwei plausible Szenarien: Entweder nutzt eine externe Auftragsgruppe Werkzeuge und Infrastruktur von Bitter, oder Bitter selbst hat das eigene Zielspektrum auf Journalistinnen, Aktivisten und andere Stimmen der Zivilgesellschaft in der MENA-Region ausgeweitet.
Warum mobiles Phishing und Spyware besonders gefährlich für die Zivilgesellschaft sind
Branchenanalysen zeigen, dass Smartphones inzwischen der zentrale Angriffsvektor in Kampagnen gegen NGOs, Journalistinnen und Menschenrechtsverteidiger sind. Mobilgeräte vereinen persönliche und berufliche Kommunikation, 2FA-Codes, Messenger und Dokumentarchive in einem System – ein erfolgreicher Angriff eröffnet Angreifern häufig vollständige Einblicke in berufliche Netzwerke, Quellenkontakte und vertrauliche Kommunikation.
Die hier analysierte Kampagne verdeutlicht mehrere kritische Trends im Bereich Cyberespionage gegen die Zivilgesellschaft:
— Zunehmende Raffinesse der sozialen Ingenieurskunst: Der Einsatz von LinkedIn, iMessage und WhatsApp sowie realitätsnahen Szenarien wie Jobangeboten oder Kontenvalidierungen erhöht die Erfolgswahrscheinlichkeit selbst bei sicherheitsbewussten Nutzern.
— Missbrauch legitimer Sicherheitsmechanismen: Angriffe über OAuth 2.0 und Originalseiten von Google oder Apple lassen sich schwerer erkennen und technisch blockieren als klassische Phishing-Seiten.
— Etablierter Markt für Spionage-Dienstleistungen: Das Hack-for-Hire-Modell ermöglicht es staatlichen und privaten Auftraggebern, operative Risiken an spezialisierte Dienstleister auszulagern und ihre eigene Rolle zu verschleiern.
Zur Risikominimierung empfehlen Fachkreise eine mehrstufige Schutzstrategie: Wo möglich sollten Hardware-Sicherheitsschlüssel oder Passkeys für Google- und Apple-Konten genutzt, vertrauenswürdige Anwendungen und OAuth-Berechtigungen regelmäßig überprüft und verdächtige Zugriffe konsequent widerrufen werden. Links in Messengern und sozialen Netzwerken, insbesondere mit Bezug auf „Support“ oder „Kontenüberprüfung“, sollten grundsätzlich kritisch geprüft werden. Zusätzlich erhöhen Maßnahmen wie das Blockieren von App-Installationen außerhalb der offiziellen Stores, restriktive App-Berechtigungen sowie regelmäßige Sicherheitsschulungen in Redaktionen und NGOs die Widerstandsfähigkeit erheblich.
Die vorliegende Kampagne unterstreicht, dass mobiler Cyberespionage gegen Journalistinnen, Aktivisten und andere gesellschaftliche Schlüsselakteure zur neuen Normalität geworden ist. Redaktionsteams, Menschenrechtsorganisationen und staatliche Stellen sollten Cybersicherheit nicht als einmaliges Projekt, sondern als laufenden Prozess verstehen – von der grundlegenden Passwort- und 2FA-Hygiene bis hin zu etablierten Verfahren zur Erkennung und Behandlung von Sicherheitsvorfällen. Wer diese Schutzmaßnahmen frühzeitig als Standard verankert, erschwert Hack-for-Hire-Akteuren und staatlich gestützten Gruppen den Missbrauch von Phishing und Spyware zur Kontrolle von Informationen und zur Einschüchterung kritischer Stimmen erheblich.
