Grup de hackeri „la închiriat”, legat de India, spionează jurnaliști și oficiali din Orientul Mijlociu și Africa de Nord prin atacuri pe iCloud și Android

Cercetători în domeniul securității au identificat un grup de „hack-for-hire” care vizează jurnaliști, activiști și oficiali guvernamentali din Orientul Mijlociu și Africa de Nord. Atacatorii au folosit campanii de phishing pentru a obține acces la copiile de rezervă iCloud ale țintelor și la conturile lor de mesagerie pe Signal, precum și spyware pentru Android capabil să preia complet controlul asupra dispozitivelor vizate.

Acest val de atacuri evidențiază o tendință tot mai accentuată: unele agenții guvernamentale își externalizează operațiunile de hacking către companii private specializate în servicii de tip hack-for-hire. Diferite guverne se bazează deja pe firme comerciale care dezvoltă spyware și exploit-uri folosite de poliție și serviciile de informații pentru a accesa datele de pe telefoanele persoanelor vizate.

Experți ai organizației pentru drepturi digitale Access Now au documentat trei incidente de atacuri derulate între 2023 și 2025. Ţintele: doi jurnaliști egipteni și un jurnalist din Liban, acesta din urmă fiind documentat și de organizația pentru drepturi digitale SMEX.

Compania de securitate mobilă Lookout a investigat, la rândul ei, aceste atacuri. Cele trei organizații au colaborat între ele, însă au publicat rapoarte separate, în aceeași zi de miercuri.

Potrivit Lookout, campania depășește cu mult sfera societății civile din Egipt și Liban. Țintele includ și membri ai guvernelor din Bahrain și Egipt, precum și persoane din Emiratele Arabe Unite, Arabia Saudită, Regatul Unit și, posibil, din Statele Unite ori foști studenți ai universităților americane.

Lookout a concluzionat că actorii din spatele acestei campanii lucrează pentru un furnizor de servicii hack-for-hire, pe care cercetătorii l-au numit BITTER. Companiile de securitate implicate în investigație suspectează că acest furnizor are legături cu guvernul indian.

Justin Albrecht, cercetător principal la Lookout, a declarat pentru TechCrunch că firma din spatele BITTER s-ar putea numi Rebsec Solutions și ar putea fi o ramură desprinsă din startup-ul indian de hack-for-hire Appin. În 2022 și 2023, investigații ample realizate de o agenție de presă internațională au scos la iveală modul în care Appin și alte companii similare din India ar fi angajate pentru a spiona direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct direct executivi de companii, politicieni, oficiali militari și alte persoane influente.

Se pare că Appin a fost ulterior închisă. Totuși, Albrecht subliniază că descoperirea acestei noi campanii de hacking arată că activitățile nu au dispărut, ci doar s-au mutat în companii mai mici.

Aceste grupuri și clienții lor obțin „negare plauzibilă, din moment ce ei operează întreaga infrastructură și derulează toate operațiunile”. Pentru clienți, serviciile acestor grupuri hack-for-hire sunt, de asemenea, probabil mai ieftine decât achiziționarea de spyware comercial, a adăugat Albrecht.

Rebsec nu a putut fi contactată pentru comentarii, întrucât compania și-a șters conturile de pe rețelele sociale și site-ul oficial.

⁨Mohammed Al-Maskati⁩, investigator și director în cadrul Digital Security Helpline al Access Now, care a lucrat la aceste cazuri, a declarat că „aceste operațiuni au devenit mai ieftine și este posibil să se evite responsabilitatea, mai ales că nu vom ști cine este clientul final, iar infrastructura nu va dezvălui entitatea din spatele ei”.

Chiar dacă grupuri precum BITTER nu par să dețină cele mai avansate instrumente de hacking și spionaj, tacticile lor rămân extrem de eficiente.

În atacurile din această campanie, hackerii au utilizat mai multe tehnici. În cazul utilizatorilor de iPhone, au încercat să îi păcălească pentru a le obține datele de autentificare Apple ID, ceea ce le-ar fi permis să acceseze copiile de rezervă iCloud și, practic, conținutul complet al telefoanelor acestor ținte.

Potrivit Access Now, aceasta poate fi „o alternativă potențial mai ieftină la utilizarea de spyware pentru iOS, mult mai sofisticat și mai costisitor”.

În cazul utilizatorilor de Android, atacatorii au folosit un spyware numit ProSpy, deghizat în aplicații populare de mesagerie și comunicare, precum Signal, WhatsApp și Zoom, dar și în ToTok și Botim, două aplicații foarte populare în Orientul Mijlociu.

În anumite situații, hackerii au încercat să convingă victimele să înregistreze și să adauge un nou dispozitiv — controlat de ei — în conturile acestora de Signal, o tehnică deja folosită de diverse grupuri de hacking, inclusiv de spioni ruși.

Un purtător de cuvânt al ambasadei Indiei la Washington D.C. nu a răspuns imediat solicitării de comentarii.