Uma operação de espionagem digital sob encomenda (hack-for-hire), possivelmente ligada a interesses governamentais indianos, está na mira após atingir jornalistas, ativistas e figuras públicas na região MENA (Oriente Médio e Norte da África). A investigação foi conduzida por organizações como Access Now, Lookout e SMEX.

Phishing direcionado com alto nível de personalização

Entre os alvos estão dois jornalistas egípcios bastante conhecidos por críticas ao governo. Eles foram atingidos por ataques de spear phishing entre 2023 e 2024, com páginas falsas que imitavam serviços da Apple e Google para roubar credenciais e códigos de autenticação em dois fatores.

Os ataques não foram genéricos. Houve engenharia social bem construída, incluindo abordagens via LinkedIn com falsas propostas de trabalho, levando as vítimas a interações aparentemente legítimas antes da tentativa de comprometimento.

Abuso de OAuth do Google eleva sofisticação

Um dos pontos mais interessantes da campanha foi o uso indevido do OAuth 2.0 do Google. Em vez de simplesmente roubar senha, os atacantes induziam a vítima a conceder permissões a um app malicioso.

Na prática, isso reduz a suspeita do usuário, já que a interface é legítima. Se a pessoa já estiver logada, basta autorizar o acesso — abrindo a porta diretamente para os atacantes sem precisar capturar a senha.

Ataques via mensageiros e falsa identidade da Apple

Outro vetor explorado foi o envio de links maliciosos via iMessage e WhatsApp, se passando por suporte oficial da Apple. Também há indícios de tentativas envolvendo Telegram e Signal.

Um jornalista libanês chegou a ter sua conta Apple totalmente comprometida, com adição de um dispositivo virtual para manter acesso persistente aos dados.

Infraestrutura e domínios suspeitos

Os atacantes utilizaram domínios cuidadosamente montados para parecerem legítimos, explorando variações de serviços populares como Apple, Signal e Telegram. Um detalhe curioso é o uso recorrente do padrão “com-ae[.]net” e "youtubepremiumapp[.]com,", já associado a campanhas anteriores de spyware Android.

Essa infraestrutura também foi ligada a malwares como ProSpy e ToSpy, capazes de coletar contatos, SMS, arquivos e metadados do dispositivo.

Possível ligação com grupo Bitter

A análise da Lookout aponta conexões com o grupo Bitter, conhecido por operações de ciberespionagem alinhadas a interesses do governo indiano. No entanto, há uma diferença importante: esse grupo tradicionalmente não atacava membros da sociedade civil.

Isso levanta duas hipóteses:

• Expansão do escopo do próprio grupo

• Uso de terceiros em um modelo “hack-for-hire”

Malware mobile segue como arma principal

Mesmo sem confirmação de spyware direto nos casos analisados, a infraestrutura e os métodos utilizados mostram que o objetivo pode facilmente evoluir para infecção com malware.

A tendência é clara: dispositivos móveis continuam sendo o elo mais explorado em campanhas de vigilância, seja via ferramentas comerciais, terceirização ou operações estatais diretas.

Créditos:

https://thehackernews.com/2026/04/bitter-linked-hack-for-hire-campaign.html