Erkenntnisse von **Access Now**, **Lookout** und **SMEX** enthüllen einen besorgniserregenden Trend gezielter Angriffe auf Personen, die sich kritisch gegenüber ihren Regierungen äußern. ### Spear-Phishing-Angriffe zielen auf Apple- und Google-Konten Zwei prominente ägyptische Journalisten und Regierungskritiker, Mostafa Al-A'sar und Ahmed Eltantawy, waren im Oktober 2023 und Januar 2024 Ziel von Spear-Phishing-Angriffen. Diese Angriffe zielten darauf ab, ihre **Apple**- und **Google**-Konten zu kompromittieren, indem sie sie auf gefälschte Anmeldeseiten umleiteten, die darauf ausgelegt waren, Anmeldedaten und Zwei-Faktor-Authentifizierungs-(2FA)-Codes zu stehlen. "Die Angriffe wurden von 2023 bis 2024 durchgeführt, und beide Ziele sind prominente Kritiker der ägyptischen Regierung, die zuvor politische Haft erlitten haben; einer von ihnen wurde bereits zuvor mit Spyware ins Visier genommen", teilte die Digital Security Helpline von Access Now mit. Ein anonymer libanesischer Journalist wurde ebenfalls im Mai 2025 über **Apple Messages** und **WhatsApp** mit bösartigen Links angegriffen, die sich als **Apple Support** ausgaben. Das Klicken auf diese Links führte zu Seiten, die Anmeldedaten sammelten. ### OAuth-Missbrauch und irreführende Taktiken Im Fall von Al-A'sar begann der Angriff mit einer **LinkedIn**-Nachricht von einer gefälschten Person namens "Haifa Kareem", die eine Jobmöglichkeit anbot. Dies führte zu einer **Zoom**-Anruf-Einladung mit einem Link, der mit **Rebrandly** gekürzt wurde. Die URL leitete zu einem zustimmungsbasierten Phishing-Angriff weiter, der Googles OAuth 2.0 nutzte, um über eine bösartige Webanwendung namens "en-account.info" unbefugten Zugriff zu gewähren. "Im Gegensatz zum vorherigen Angriff, bei dem der Angreifer sich als Apple-Konto-Login ausgab und eine gefälschte Domain verwendete, nutzt dieser Angriff OAuth-Zustimmung, um legitime Google-Assets zu nutzen, um Ziele dazu zu verleiten, ihre Anmeldedaten preiszugeben", so Access Now. Wenn der Benutzer nicht bei Google angemeldet war, wurde er aufgefordert, seine Anmeldedaten einzugeben. Wenn er bereits angemeldet war, wurde er aufgefordert, einer vom Angreifer kontrollierten Anwendung die Berechtigung zu erteilen, indem eine vertraute Drittanbieter-Anmeldefunktion genutzt wurde. ### Domain-Überschneidung mit Android-Spyware-Kampagne Bemerkenswert ist, dass die Domain "com-ae[.]net" mit einer Android-Spyware-Kampagne überschneidet, die von **ESET** im Oktober 2025 dokumentiert wurde. Diese Kampagne nutzte irreführende Websites, die **Signal**, **ToTok** und **Botim** nachahmten, um **ProSpy** und **ToSpy** an Ziele in den VAE zu verteilen.  Die Domain "encryption-plug-in-signal.com-ae[.]net" wurde als erster Zugriffspunkt für ProSpy verwendet und gab sich als nicht existierendes Verschlüsselungs-Plugin für Signal aus. ProSpy kann sensible Daten exfiltrieren, darunter Kontakte, SMS-Nachrichten, Geräte-Metadaten und lokale Dateien. ### Ausmaß der Kompromittierung und Überwachungsfolgen Während die Konten der ägyptischen Journalisten nicht kompromittiert wurden, wurde das **Apple-Konto** des libanesischen Journalisten vollständig kompromittiert, wobei ein virtuelles Gerät für den dauerhaften Zugriff hinzugefügt wurde. Access Now vermutet, dass diese Operation Teil einer breiteren regionalen Überwachungsanstrengung sein könnte, die auf die Kommunikation und persönliche Daten abzielt. ### Zuschreibung zur Bitter APT-Gruppe Lookout schreibt diese Kampagnen einer "Hack-for-Hire"-Operation zu, die mit **Bitter** in Verbindung gebracht wird, einer Bedrohungsgruppe, von der angenommen wird, dass sie im Auftrag der indischen Regierung für die Informationsbeschaffung zuständig ist und seit mindestens 2022 operiert. Die Kampagne hat wahrscheinlich Opfer in Bahrain, den VAE, Saudi-Arabien, dem Vereinigten Königreich, Ägypten und potenziell den USA ins Visier genommen, basierend auf Phishing-Domains und ProSpy-Malware-Köder. ### Infrastrukturverbindungen und Malware-Ähnlichkeiten Verbindungen zu Bitter ergeben sich aus Infrastrukturverbindungen zwischen "com-ae[.]net" und "youtubepremiumapp[.]com", einer Domain, die von **Cyble** und **Meta** im August 2022 im Zusammenhang mit einer Spionageanstrengung zur Verbreitung der **Dracarys**-Android-Malware gekennzeichnet wurde. Dies beinhaltete gefälschte Websites, die vertrauenswürdige Dienste wie **YouTube**, **Signal**, **Telegram** und **WhatsApp** nachahmten. Die Analyse von Lookout zeigt auch Ähnlichkeiten zwischen Dracarys und ProSpy, obwohl ProSpy später mit Kotlin anstelle von Java entwickelt wurde. Beide Familien verwenden Worker-Logik und ähnliche Namenskonventionen für Worker-Klassen und verwenden beide nummerierte C2-Befehle. ### Ungewissheiten bezüglich Bitters Beteiligung Unklar bleibt, ob dies eine Erweiterung der Rolle von Bitter darstellt oder eine Überschneidung zwischen Bitter und einer unbekannten "Hack-for-Hire"-Gruppe. "Wir wissen nicht, ob dies eine Erweiterung der Rolle von Bitter darstellt oder ob es ein Hinweis auf eine Überschneidung zwischen Bitter und einer unbekannten 'Hack-for-Hire'-Gruppe ist", fügte Lookout hinzu. "Was wir wissen, ist, dass mobile Malware weiterhin ein primäres Mittel zur Überwachung der Zivilgesellschaft ist, sei es durch einen kommerziellen Überwachungsanbieter gekauft, an eine 'Hack-for-Hire'-Organisation ausgelagert oder direkt vom Akteur eingesetzt."