Uma campanha de hack-for-hire, provavelmente orquestrada por um threat actor com suspeita de ligação ao governo da Índia, mirou jornalistas, ativistas e autoridades públicas no Oriente Médio e no Norte da África, segundo apuração da Access Now, da Lookout e da SMEX.
Entre os alvos estavam os conhecidos jornalistas egípcios Mostafa Al-A'sar e Ahmed Eltantawy, críticos do governo do Egito.
Eles foram alvo de uma sequência de ataques de spear-phishing que buscavam comprometer suas contas Apple e Google em outubro de 2023 e janeiro de 2024.
Os criminosos os levaram a páginas falsas criadas para capturar credenciais e códigos de autenticação em dois fatores, ou 2FA.
“Os ataques ocorreram entre 2023 e 2024, e ambos os alvos são críticos proeminentes do governo egípcio, que já enfrentaram prisão política; um deles já havia sido alvo de spyware”, informou a Digital Security Helpline da Access Now.
Outro alvo identificado foi um jornalista libanês anônimo, que recebeu mensagens de phishing em maio de 2025 pelo Apple Messages e pelo WhatsApp com links maliciosos.
Ao clicar, a vítima era induzida a inserir seus dados em uma suposta etapa de verificação da Apple.
“A campanha de phishing incluiu ataques persistentes via iMessage/Apple Messenger e WhatsApp, [...] se passando pelo Apple Support”, disse a SMEX, organização sem fins lucrativos de direitos digitais que atua na região da Ásia Ocidental e do Norte da África.
“Embora o foco principal pareça ser os serviços da Apple, evidências sugerem que outras plataformas de mensagens, como Telegram e Signal, também foram alvo.”
No caso de Al-A'sar, o ataque começou no LinkedIn.
Uma conta falsa, registrada sob o nome “Haifa Kareem”, entrou em contato oferecendo uma oportunidade de trabalho.
Depois que o jornalista compartilhou seu número de celular e e-mail, recebeu uma mensagem em 24 de janeiro de 2024 com instruções para entrar em uma chamada no Zoom por meio de um link encurtado com Rebrandly.
Esse URL foi classificado como parte de uma phishing attack baseada em consentimento, que explora o OAuth 2.0 do Google para conceder acesso indevido à conta da vítima por meio de uma web application maliciosa chamada “en-account.info”.
“Diferentemente do ataque anterior, no qual o invasor se passava por uma tela de login da Apple e usava um domínio falso, esta tentativa emprega consentimento via OAuth e se apoia em ativos legítimos do Google para enganar os alvos e levá-los a fornecer suas credenciais”, explicou a Access Now.
“Se o usuário não estiver logado no Google, ele é levado a inserir nome de usuário e senha.
Mais comumente, se já estiver autenticado, é solicitado que conceda permissão a um aplicativo controlado pelo atacante, usando um recurso de sign-in de terceiros familiar para a maioria dos usuários do Google.”
Entre os domínios usados nessas campanhas de phishing estão:
signin-apple.com-en-uk[.]co
id-apple.com-en[.]io
facetime.com-en[.]io
secure-signal.com-en[.]io
telegram.com-en[.]io
verify-apple.com-ae[.]net
join-facetime.com-ae[.]net
android.com-ae[.]net
encryption-plug-in-signal.com-ae[.]net
Curiosamente, o domínio com a estrutura “com-ae[.]net” também aparece em uma campanha de spyware para Android documentada pela empresa eslovaca ESET em outubro de 2025.
Na ocasião, a companhia identificou sites falsos que imitavam Signal, ToTok e Botim para distribuir ProSpy e ToSpy contra alvos não especificados nos Emirados Árabes Unidos.
Em particular, o domínio “encryption-plug-in-signal.com-ae[.]net” foi usado como vetor inicial de acesso para o ProSpy, fingindo ser um suposto plugin de criptografia inexistente para o Signal.
O spyware é capaz de roubar dados sensíveis, como contatos, mensagens SMS, metadados do dispositivo e arquivos locais.
Nenhuma das contas dos dois jornalistas egípcios foi, ao fim, totalmente comprometida.
Já a SMEX revelou que o ataque inicial contra o jornalista libanês, em 19 de maio de 2025, conseguiu comprometer completamente a Apple Account da vítima e ainda adicionou um dispositivo virtual à conta, garantindo acesso persistente aos dados.
A segunda onda de ataques não teve sucesso.
Embora não haja evidência de que os três jornalistas tenham sido alvo de spyware, os indícios mostram que os operadores por trás da campanha podem usar os mesmos métodos e a mesma infraestrutura para distribuir payloads maliciosos e exfiltrar dados sensíveis.
“Isso sugere que a operação identificada pode fazer parte de um esforço regional mais amplo de vigilância, voltado a monitorar comunicações e coletar dados pessoais”, afirmou a Access Now.
Em sua própria análise, a Lookout atribuiu as ações a uma operação de hack-for-hire ligada ao Bitter, um threat cluster associado a esforços de inteligência no interesse do governo indiano.
A campanha de espionagem estaria ativa desde pelo menos 2022.
Com base nos domínios de phishing observados e nas iscas associadas ao ProSpy, a campanha provavelmente mirou vítimas no Bahrein, nos Emirados Árabes Unidos, na Arábia Saudita, no Reino Unido, no Egito e, possivelmente, nos Estados Unidos, ou ainda ex-alunos de universidades americanas, o que indica que os ataques vão além de membros da sociedade civil egípcia e libanesa.
“A operação combina spear-phishing direcionado, entregue por meio de contas falsas em redes sociais e aplicativos de mensagens, com esforços persistentes de engenharia social, o que pode resultar na entrega de spyware para Android, dependendo do dispositivo do alvo”, disse a empresa de cibersegurança.
A ligação com o Bitter vem de conexões de infraestrutura entre “com-ae[.]net” e “youtubepremiumapp[.]com”, domínio que a Cyble e a Meta apontaram em agosto de 2022 como associado ao grupo em uma operação de espionagem que usava sites falsos para imitar serviços confiáveis, como YouTube, Signal, Telegram e WhatsApp, na distribuição de um malware para Android chamado Dracarys.
A análise da Lookout também encontrou semelhanças entre Dracarys e ProSpy, embora este último tenha sido desenvolvido anos depois, em Kotlin, e não em Java.
“As duas famílias usam lógica de worker para executar tarefas e nomeiam as classes de worker de forma parecida.
Além disso, ambas usam comandos numerados de C2”, acrescentou a empresa.
“Enquanto o ProSpy exfiltra dados para endpoints de servidor que começam com ‘v3’, o Dracarys envia dados para endpoints que começam com ‘r3’.”
Mesmo com essas conexões, o que torna a campanha incomum é que o Bitter nunca havia sido atribuído a operações de espionagem contra membros da sociedade civil.
Isso abriu duas possibilidades: ou se trata de uma operação de hack-for-hire com vínculos ao Bitter, ou o próprio threat actor está por trás dela, o que pode indicar uma expansão de seu escopo de alvos.
“Não sabemos se isso representa uma expansão do papel do Bitter ou se é um sinal de sobreposição entre o Bitter e um grupo desconhecido de hack-for-hire”, acrescentou a Lookout.
“O que sabemos é que o malware mobile continua sendo um dos principais meios de espionagem contra a sociedade civil, seja comprado de um fornecedor comercial de surveillance, terceirizado para uma organização de hack-for-hire ou implantado diretamente por um Estado-nação.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...