Міжнародні організації Access Now, Lookout та SMEX задокументували тривалу фішингову кампанію формату hack‑for‑hire, спрямовану проти журналістів, правозахисників та державних службовців у країнах Близького Сходу та Північної Африки (MENA). Технічний аналіз вказує на можливий зв’язок операції з найманою групою, що використовує інфраструктуру та інструменти, асоційовані з кластером загроз Bitter, який раніше пов’язували з індійськими державними інтересами.
Мобільний фішинг проти журналістів: Apple ID, Google та соціальна інженерія
Під удар потрапили, зокрема, єгипетські журналісти та критики влади Mostafa Al‑A’sar і Ahmed Eltantawy. З жовтня 2023 по січень 2024 року вони пережили серію цільових (spear‑phishing) атак, спрямованих на компрометацію їхніх облікових записів Apple та Google.
Сценарій був класичний, але добре продуманий: жертв перенаправляли на правдоподібні фальшиві сторінки входу, де вимагали ввести логін, пароль та коди двофакторної автентифікації (2FA). Таким чином атакувальники намагалися одночасно перехопити як облікові дані, так і одноразові коди, необхідні для доступу до акаунтів.
Окремий епізод стосувався анонімного ліванського журналіста, який у травні 2025 року отримав через iMessage та WhatsApp повідомлення нібито від служби підтримки Apple. Посилання в цих повідомленнях вели на підроблені сторінки «перевірки облікового запису», що збирали облікові дані Apple ID. За даними SMEX, кампанія маскувалася під офіційну підтримку Apple, фокусуючись на екосистемі Apple, але в інтересах зловмисників також були користувачі Telegram та Signal.
OAuth‑фішинг Google‑акаунтів через LinkedIn і Zoom‑приманки
Одним з найтехнічніших епізодів стала атака на Google‑акаунт Mostafa Al‑A’sar. Перший контакт відбувся у LinkedIn через фейковий профіль «Haifa Kareem», який запропонував журналісту роботу й запросив контактні дані. Згодом, 24 січня 2024 року, надійшов лист із «запрошенням на Zoom‑дзвінок» за посиланням, скороченим сервісом Rebrandly.
Насправді ж це посилання перенаправляло не до Zoom, а на сторінку OAuth‑авторизації Google для підозрілого вебзастосунку en-account.info. Такий підхід відомий як консенсусний OAuth‑фішинг: замість крадіжки пароля користувача змушують самостійно надати шкідливому застосунку доступ до пошти, контактів, Google Drive тощо через цілком легітимний інтерфейс Google.
Якщо користувач уже авторизований у Google, йому достатньо натиснути «Дозволити», після чого зловмисник отримує довготривалий токен доступу. Такий токен дозволяє обходити 2FA і зберігає доступ навіть після зміни пароля, доки його явно не відкличуть у налаштуваннях безпеки.
Інфраструктура атак: домени com-ae[.]net, ProSpy та фальшиві застосунки Signal
Дослідники виявили низку доменів, задіяних у кампанії, серед яких особливо виділяється com-ae[.]net. Цей домен раніше фігурував в аналітичних звітах як частина ланцюга розповсюдження Android‑шпигунського ПЗ.
За даними компанії ESET, у жовтні 2025 року пов’язані з ним сайти, що маскувалися під офіційні ресурси Signal, ToTok та Botim, використовувалися для доставки троянів ProSpy і ToSpy з орієнтацією на користувачів в ОАЕ. Один із доменів — encryption-plug-in-signal.com-ae[.]net — імітував неіснуючий «плагін шифрування» для Signal.
Після встановлення такий шкідливий застосунок отримував можливість збирати контакти, SMS, метадані пристрою та локальні файли, перетворюючи смартфон на інструмент прихованого спостереження. Хоча у випадку з трьома описаними журналістами прямих ознак інсталяції шпигунських програм не виявлено, перетин доменної інфраструктури та технік соціальної інженерії свідчить, що ті самі канали могли (і можуть) використовуватися для поширення мобільної малварі.
Bitter, Dracarys і формат hack‑for‑hire: еволюція кібершпигунства
Аналітики Lookout класифікують цю кампанію як операцію hack‑for‑hire — тобто діяльність найманих виконавців, які здійснюють кібершпигунство за замовленням державних або приватних структур. Зв’язок із групою Bitter простежується через інфраструктуру: домен com-ae[.]net асоційований із youtubepremiumapp[.]com, який, за даними Cyble та Meta (серпень 2022 року), вже використовувався Bitter для розповсюдження Android‑малварі Dracarys через фейкові сайти YouTube, Signal, Telegram та WhatsApp.
Дослідники фіксують архітектурну подібність між Dracarys і пізнішим ProSpy: обидві сім’ї використовують «worker‑логіку» виконання задач і нумеровані команди C2‑серверів керування. Відмінності радше технічні: ProSpy реалізовано на Kotlin, тоді як Dracarys — на Java; різняться й префікси серверних ендпойнтів («v3» проти «r3»), але загальний протокол керування зберігає ту саму ідеологію.
Нетиповим для Bitter є систематичне націлення на представників громадянського суспільства. Це залишає відкритими два сценарії: або кампанію веде наймана структура, яка використовує інструментарій Bitter, або ж сама група розширила коло цілей і перейшла до ширшого регіонального стеження.
Чому мобільний фішинг стає критично небезпечним для журналістів і активістів
Сучасні звіти з кібербезпеки одностайні: смартфон — це ключова точка входу в операціях кібершпигунства проти журналістів, НКО та правозахисників. На одному пристрої поєднуються приватна й робоча комунікація, 2FA‑коди, зашифровані месенджери, хмарні документи та паролі.
Описана кампанія демонструє кілька тривожних трендів:
1. Ускладнення соціальної інженерії. Використання LinkedIn, iMessage, WhatsApp, легенд «робочої пропозиції» чи «верифікації Apple ID» значно підвищує довіру навіть технічно підкованих користувачів.
2. Зловживання легітимними технологіями. OAuth‑фішинг через справжні сторінки Google або Apple набагато важче розпізнати й блокувати, ніж класичні фальшиві сайти зі схожими доменами.
3. Розвиток ринку шпигунських послуг. Формат hack‑for‑hire дозволяє замовникам зберігати формальну «відстань» від операцій, перекладаючи технічні ризики на підрядників.
Щоб зменшити ризики, доцільно впровадити такі практики цифрової безпеки:
— використовувати апаратні ключі безпеки або passkeys для акаунтів Google та Apple, де це можливо;
— регулярно перевіряти список підключених пристроїв і сторонніх застосунків в акаунтах, відкликаючи підозрілий доступ і старі OAuth‑токени;
— критично ставитися до будь-яких посилань у месенджерах і соцмережах, особливо якщо йдеться про «підтримку», «перевірку» чи «відновлення» акаунта;
— обмежити встановлення застосунків поза офіційними магазинами та жорстко контролювати дозволи Android/iOS;
— організовувати регулярні навчання з розпізнавання цільового фішингу для редакцій, правозахисних організацій і політичних штабів.
Розслідувана кампанія ще раз підтверджує: мобільний кібершпигунство проти громадянського суспільства вже стало рутиною, а не винятком. Журналісти, активісти, юристи й держслужбовці в регіоні MENA та поза ним потребують системного підходу до цифрового захисту — від базової гігієни паролів і 2FA до впровадження процедур реагування на інциденти та незалежного аудиту безпеки. Чим раніше такі практики стануть стандартом, тим важче буде найманим операторам і державним структурам використовувати фішинг і шпигунське ПЗ для тиску, спостереження та придушення свободи слова.
