Египетский журналист Мустафа аль-Асар, известный критик правительства, ранее прошедший через политическое заключение, в октябре 2023 года получил сообщение в LinkedIn от некой «Хайфы Карим». Она предложила привлекательную вакансию и попросила номер телефона с электронной почтой. 24 января 2024 года «Хайфа» прислала письмо со ссылкой на Zoom, укороченной через сервис ReBrandly. Ссылка вела на вредоносное веб-приложение «en-account.info», которое эксплуатировало механизм Google OAuth 2.0 — по сути, обманом заставляло пользователя предоставить стороннему приложению доступ к его аккаунту Google через легитимные инструменты самой Google. Атака провалилась: аль-Асар не попался.
Параллельно тем же способом пытались взломать и другого египетского журналиста — Ахмеда Эльтантави, тоже бывшего политзаключённого, который ранее уже подвергался атакам с использованием шпионского ПО. Его атаковали в октябре 2023-го и январе 2024-го. Безрезультатно.
А вот анонимному ливанскому журналисту повезло меньше. 19 мая 2025 года он получил фишинговые сообщения через iMessage и WhatsApp — отправитель выдавал себя за службу поддержки Apple. Ссылки вели на страницы, требовавшие ввести учётные данные Apple ID якобы для верификации. Атака удалась: аккаунт Apple был полностью скомпрометирован. Злоумышленник добавил виртуальное устройство, чтобы получить постоянный доступ к данным жертвы. Вторая волна атак на того же журналиста уже не сработала.
Расследование провели три организации: Access Now, компания Lookout и ливанская некоммерческая организация SMEX, занимающаяся цифровыми правами в регионе Западной Азии и Северной Африки. По их данным, география жертв охватывает Бахрейн, ОАЭ, Саудовскую Аравию, Великобританию, Египет, а также, предположительно, США или по крайней мере выпускников американских университетов. Целями становились журналисты, активисты и государственные чиновники.
Техническая инфраструктура кампании оставила заметный след. Исследователи обнаружили целую сеть фишинговых доменов: signin-apple.com-en-uk[.]co, id-apple.com-en[.]io, facetime.com-en[.]io, secure-signal.com-en[.]io, telegram.com-en[.]io, verify-apple.com-ae[.]net, join-facetime.com-ae[.]net, android.com-ae[.]net, encryption-plug-in-signal.com-ae[.]net. Все они мимикрировали под сервисы Apple, Google, Signal, Telegram и FaceTime.
Параллельное открытие сделала словацкая компания ESET в октябре 2025 года. Она задокументировала кампанию по распространению Android-шпионского ПО, использовавшую перекрывающуюся доменную структуру «com-ae[.]net». Поддельные сайты притворялись мессенджерами Signal, ToTok и Botim для развёртывания вредоносного ПО против неустановленных целей в ОАЭ. Домен encryption-plug-in-signal.com-ae[.]net, например, выдавал себя за несуществующий плагин шифрования Signal.
Специалисты Lookout идентифицировали три семейства вредоносного ПО. ProSpy — написан на Kotlin, похищает контакты, SMS-сообщения, метаданные устройства и локальные файлы, его конечные точки начинаются с «v3». ToSpy — ещё одно обнаруженное семейство. И Dracarys — более старый Android-троян, впервые привязанный к группировке Bitter в августе 2022 года компаниями Cyble и М⃰; он маскировался под YouTube, Signal, Telegram и WhatsApp, написан на Java, конечные точки начинаются с «r3». Несмотря на разные языки программирования, ProSpy и Dracarys демонстрируют отчётливое структурное сходство: оба используют «воркерную логику» для задач, имеют одинаково названные классы воркеров и нумерованные команды для связи с командными серверами (C2).
Главный подозреваемый — группировка Bitter, кластер угроз, который, по данным исследователей, выполняет задачи по сбору разведывательных данных в интересах индийского правительства. Их шпионская кампания прослеживается как минимум с 2022 года. Ключевая улика в атрибуции — связь между доменом «com-ae[.]net» и доменом «youtubepremiumapp[.]com», который был привязан к Bitter ещё в августе 2022 года.
Самое странное тут вот что. Исторически Bitter никогда не связывали с атаками на гражданское общество — журналистов, правозащитников. Lookout пришла к заключению, что это либо расширение прицела Bitter на новые категории жертв, либо свидетельство сотрудничества между Bitter и какой-то неизвестной хакерской группой, работающей по найму. Access Now, в свою очередь, считает, что кампания является частью масштабных региональных усилий по наблюдению, нацеленных на сбор персональных данных и мониторинг коммуникаций. По их оценке, мобильное вредоносное ПО остаётся основным инструментом слежки за гражданским обществом в регионе MENA.
Изображение носит иллюстративный характер
Параллельно тем же способом пытались взломать и другого египетского журналиста — Ахмеда Эльтантави, тоже бывшего политзаключённого, который ранее уже подвергался атакам с использованием шпионского ПО. Его атаковали в октябре 2023-го и январе 2024-го. Безрезультатно.
А вот анонимному ливанскому журналисту повезло меньше. 19 мая 2025 года он получил фишинговые сообщения через iMessage и WhatsApp — отправитель выдавал себя за службу поддержки Apple. Ссылки вели на страницы, требовавшие ввести учётные данные Apple ID якобы для верификации. Атака удалась: аккаунт Apple был полностью скомпрометирован. Злоумышленник добавил виртуальное устройство, чтобы получить постоянный доступ к данным жертвы. Вторая волна атак на того же журналиста уже не сработала.
Расследование провели три организации: Access Now, компания Lookout и ливанская некоммерческая организация SMEX, занимающаяся цифровыми правами в регионе Западной Азии и Северной Африки. По их данным, география жертв охватывает Бахрейн, ОАЭ, Саудовскую Аравию, Великобританию, Египет, а также, предположительно, США или по крайней мере выпускников американских университетов. Целями становились журналисты, активисты и государственные чиновники.
Техническая инфраструктура кампании оставила заметный след. Исследователи обнаружили целую сеть фишинговых доменов: signin-apple.com-en-uk[.]co, id-apple.com-en[.]io, facetime.com-en[.]io, secure-signal.com-en[.]io, telegram.com-en[.]io, verify-apple.com-ae[.]net, join-facetime.com-ae[.]net, android.com-ae[.]net, encryption-plug-in-signal.com-ae[.]net. Все они мимикрировали под сервисы Apple, Google, Signal, Telegram и FaceTime.
Параллельное открытие сделала словацкая компания ESET в октябре 2025 года. Она задокументировала кампанию по распространению Android-шпионского ПО, использовавшую перекрывающуюся доменную структуру «com-ae[.]net». Поддельные сайты притворялись мессенджерами Signal, ToTok и Botim для развёртывания вредоносного ПО против неустановленных целей в ОАЭ. Домен encryption-plug-in-signal.com-ae[.]net, например, выдавал себя за несуществующий плагин шифрования Signal.
Специалисты Lookout идентифицировали три семейства вредоносного ПО. ProSpy — написан на Kotlin, похищает контакты, SMS-сообщения, метаданные устройства и локальные файлы, его конечные точки начинаются с «v3». ToSpy — ещё одно обнаруженное семейство. И Dracarys — более старый Android-троян, впервые привязанный к группировке Bitter в августе 2022 года компаниями Cyble и М⃰; он маскировался под YouTube, Signal, Telegram и WhatsApp, написан на Java, конечные точки начинаются с «r3». Несмотря на разные языки программирования, ProSpy и Dracarys демонстрируют отчётливое структурное сходство: оба используют «воркерную логику» для задач, имеют одинаково названные классы воркеров и нумерованные команды для связи с командными серверами (C2).
Главный подозреваемый — группировка Bitter, кластер угроз, который, по данным исследователей, выполняет задачи по сбору разведывательных данных в интересах индийского правительства. Их шпионская кампания прослеживается как минимум с 2022 года. Ключевая улика в атрибуции — связь между доменом «com-ae[.]net» и доменом «youtubepremiumapp[.]com», который был привязан к Bitter ещё в августе 2022 года.
Самое странное тут вот что. Исторически Bitter никогда не связывали с атаками на гражданское общество — журналистов, правозащитников. Lookout пришла к заключению, что это либо расширение прицела Bitter на новые категории жертв, либо свидетельство сотрудничества между Bitter и какой-то неизвестной хакерской группой, работающей по найму. Access Now, в свою очередь, считает, что кампания является частью масштабных региональных усилий по наблюдению, нацеленных на сбор персональных данных и мониторинг коммуникаций. По их оценке, мобильное вредоносное ПО остаётся основным инструментом слежки за гражданским обществом в регионе MENA.
