Международные правозащитные и исследовательские организации Access Now, Lookout и SMEX выявили длительную фишинговую кампанию формата hack‑for‑hire, нацеленную на журналистов, активистов и госслужащих в странах Ближнего Востока и Северной Африки. По их данным, за операцией может стоять наёмная группа с предполагаемыми связями с индийскими государственными интересами и ранее зафиксированным кластером угроз Bitter.
Фишинговые атаки на журналистов: Apple ID, Google и социальная инженерия
Под удар попали, в частности, египетские журналисты и критики властей М Mostafa Al-A’sar и Ahmed Eltantawy. С октября 2023 по январь 2024 года они подвергались серии спирфишинговых атак, целью которых было получение доступа к их аккаунтам Apple и Google. Злоумышленники направляли жертв на поддельные страницы входа, где те должны были ввести логин, пароль и коды двухфакторной аутентификации (2FA).
Отдельный эпизод затронул анонимного ливанского журналиста, который в мае 2025 года получил через iMessage и WhatsApp сообщения, якобы от службы поддержки Apple. Внутри содержались ссылки на фальшивые сайты «проверки аккаунта», где запрашивались учетные данные Apple ID. По данным SMEX, кампания маскировалась под поддержку Apple и в ряде случаев ориентировалась преимущественно на экосистему Apple, но следы указывают, что атакующие также интересовались пользователями Telegram и Signal.
OAuth 2.0 как инструмент фишинга Google‑аккаунтов
В случае с Mostafa Al-A’sar атака на Google‑аккаунт началась с LinkedIn. Фейковый профиль «Haifa Kareem» предложил журналисту работу и запросил его контактные данные. После этого 24 января 2024 года ему пришло письмо с приглашением на «Zoom‑созвон» по ссылке, сокращённой с помощью Rebrandly. Перейдя по ссылке, жертва попадала не на Zoom, а на страницу OAuth‑авторизации Google для подозрительного веб‑приложения en-account.info.
Такая схема известна как консенсусный OAuth‑фишинг: вместо кражи пароля злоумышленники добиваются того, чтобы пользователь сам выдал вредоносному приложению доступ к своему аккаунту через знакомый интерфейс Google. Если пользователь не залогинен, его просят ввести логин и пароль, а если уже вошёл — лишь подтвердить набор прав (доступ к почте, контактам, Drive и т.п.). В результате атакующий получает долговременный токен доступа без взлома пароля и может обходить 2FA.
Инфраструктура атак и связь с мобильным шпионским ПО ProSpy
Исследователи зафиксировали ряд доменов, задействованных в кампании. Особое внимание привлёк домен com-ae[.]net, который ранее уже фигурировал в отчётах о Android‑шпионском ПО. По данным компании ESET, в октябре 2025 года через связанные с ним сайты, маскирующиеся под официальные ресурсы Signal, ToTok и Botim, распространялись трояны ProSpy и ToSpy, нацеленные на пользователей в ОАЭ.
Один из таких доменов — encryption-plug-in-signal.com-ae[.]net — выдавал себя за несуществующий «плагин шифрования» для Signal. После установки шпионский софт получал возможность выгружать контакты, SMS, метаданные устройства и локальные файлы, фактически превращая смартфон в инструмент скрытого наблюдения.
Важно, что в описанных атаках на трёх журналистов не обнаружено прямых следов установки шпионских программ. Однако совпадение доменной инфраструктуры и техник социальной инженерии указывает, что те же каналы могут быть использованы для доставки вредоносных приложений и последующей эксфильтрации данных.
Hack‑for‑hire, группировка Bitter и Android‑малварь Dracarys
Компания Lookout, анализировавшая инциденты, пришла к выводу, что перед нами — операция hack‑for‑hire, связанная с кластером угроз Bitter. Bitter рассматривается отраслевыми экспертами как группа, ориентированная на кибершпионаж в интересах индийских государственных структур и действующая минимум с 2022 года.
Связь кампании с Bitter исследователи прослеживают через инфраструктуру: домен com-ae[.]net связан с youtubepremiumapp[.]com, который ранее, по данным Cyble и Meta (август 2022 года), использовался Bitter в операции по распространению Android‑малвари Dracarys через фейковые сайты YouTube, Signal, Telegram и WhatsApp.
Lookout отмечает сходство в архитектуре Dracarys и более позднего ProSpy: в обоих случаях используется схожая «worker‑логика» выполнения задач и нумерованные команды C2 (серверов управления). Различается лишь реализация — ProSpy написан на Kotlin, тогда как Dracarys использовал Java; также отличаются префиксы на серверных эндпоинтах («v3» против «r3»), но общий подход к построению протокола управления сохраняется.
Необычность текущей кампании в том, что Bitter ранее не связывали с систематическими атаками на представителей гражданского общества. Это оставляет два сценария: либо за кампанией стоит наёмная структура, технологически опирающаяся на наработки Bitter, либо сама группировка расширила спектр целей и перешла к более широкому региональному слежению.
Почему мобильный фишинг и шпионское ПО опасны для журналистов и активистов
По данным открытых отчётов индустрии кибербезопасности, мобильные устройства становятся ключевой точкой входа в кибершпионаже против НКО, журналистов и активистов. Смартфоны объединяют личную и рабочую переписку, двухфакторные коды, мессенджеры и архив документов, что делает их идеальной целью для атакующего.
Описанная кампания демонстрирует несколько тревожных тенденций:
1. Усложнение социальной инженерии. Использование LinkedIn, iMessage, WhatsApp и правдоподобных сценариев (предложение работы, верификация Apple ID) повышает шансы на успех атаки даже против технически грамотных пользователей.
2. Злоупотребление легитимными технологиями. Фишинг через OAuth 2.0 и подлинные страницы Google или Apple сложнее заметить и блокировать, чем «классические» поддельные сайты.
3. Рынок шпионских услуг. Формат hack‑for‑hire позволяет государственным и частным заказчикам скрывать свою причастность, перекладывая техническую работу и риски на подрядчиков.
Для снижения рисков экспертное сообщество рекомендует:
— использовать аппаратные ключи безопасности или passkeys для Google/Apple‑аккаунтов там, где это возможно;
— регулярно проверять список устройств и доверенных приложений, отзывая подозрительный доступ;
— внимательно относиться к ссылкам в мессенджерах и соцсетях, особенно связанным с «поддержкой» и «проверкой аккаунта»;
— включать дополнительные уровни защиты (блокировка установки приложений вне официальных магазинов, контроль разрешений Android/iOS);
— проводить обучения по распознаванию целевых фишинговых атак для редакций и правозащитных организаций.
Расследованная кампания показывает, что мобильный кибершпионаж против гражданского общества становится нормой, а не исключением. Журналисты, активисты, юристы и госслужащие в регионе MENA и за его пределами нуждаются в системной цифровой защите: от базовой гигиены паролей и 2FA до внедрения профессиональных процедур реагирования на инциденты. Чем раньше такие практики станут стандартом, тем сложнее будет наёмным операторам и государственным структурам использовать фишинг и шпионское ПО для подавления свободы слова и контроля над коммуникациями.
