根据Access Now、Lookout和SMEX的研究 一个疑似与印度政府相关的Bitter威胁团伙主导的黑客雇佣行动 从2023年起瞄准中东北非MENA地区记者 活动家和官员 主要通过假冒苹果谷歌服务的钓鱼页面窃取凭证和两步验证码 Access Now数字安全热线报告显示 埃及知名政府批评记者Mostafa Al-A'sar和Ahmed Eltantawy在2023年10月和2024年1月接到攻击 诱导他们输入苹果和谷歌账户信息 两人此前曾遭政治监禁 其中一人还被间谍软件盯上 SMEX补充说 黎巴嫩一名匿名记者在2025年5月通过苹果消息和WhatsApp收到恶意链接 伪装成苹果支持验证步骤 该攻击导致其苹果账户完全沦陷 攻击者添加虚拟设备实现持久访问 尽管埃及两位记者账户幸免 但整个行动暴露了基础设施可用于投放间谍软件窃取联系人短信和文件
Lookout分析指出 这个行动从2022年起活跃 覆盖巴林 阿联酋 沙特 英国 埃及和潜在美国目标 甚至包括美国大学校友 钓鱼域名多达9个 如signin-apple.com-en-uk[.]co和android.com-ae[.]net 其中com-ae[.]net域名与2025年10月ESET记录的安卓间谍软件行动重叠 该软件伪装成Signal加密插件部署ProSpy和ToSpy 针对阿联酋目标窃取设备数据 Al-A'sar的谷歌账户攻击从LinkedIn假账号Haifa Kareem开始 对方以工作机会诱骗其分享联系方式 再发Rebrandly短链邮件指向Zoom假页 利用谷歌OAuth 2.0授权让受害者批准恶意应用en-account.info访问账户 Access Now强调 这种方式借用谷歌合法资产 受害者常已登录只需点同意 行动还瞄准Telegram和Signal 伪造域名如secure-signal.com-en[.]io 黎巴嫩记者首波攻击成功后第二波失败 但整体显示攻击者通过社交工程持久跟进
链上基础设施显示 Bitter与此行动关联紧密 Lookout发现com-ae[.]net与2022年Cyble和Meta标记的youtubepremiumapp[.]com重叠 后者用于Dracarys安卓恶意软件 伪装YouTube Signal等服务 该软件与ProSpy相似 均用编号C2命令和工人逻辑处理任务 只是后者用Kotlin开发 服务器端点前缀从r3变v3 这个异常之处在于Bitter以往专注情报收集 未针对公民社会 引发两种可能 要么是Bitter外包雇佣团伙 要么其自身扩大目标范围 SMEX警告 苹果服务是主攻点 但其他消息平台也在列 整个行动暗示更广区域监视 收集通信和个人数据 记者们需警惕社交媒体和消息app的假工作机会或验证链接 启用设备安全检查如苹果账户设备列表 短期内这些攻击已在MENA制造恐慌 暴露商业监视和国家行为交织风险