Los hallazgos de **Access Now**, **Lookout** y **SMEX** revelan una preocupante tendencia de ataques dirigidos contra individuos críticos con sus gobiernos. ### Ataques de Spear-Phishing Dirigidos a Cuentas de Apple y Google Dos prominentes periodistas y críticos del gobierno egipcio, Mostafa Al-A'sar y Ahmed Eltantawy, fueron objeto de ataques de spear-phishing en octubre de 2023 y enero de 2024. Estos ataques tenían como objetivo comprometer sus cuentas de **Apple** y **Google** redirigiéndolos a páginas de inicio de sesión falsas diseñadas para robar credenciales y códigos de autenticación de dos factores (2FA). "Los ataques se llevaron a cabo de 2023 a 2024, y ambos objetivos son críticos prominentes del gobierno egipcio que previamente han enfrentado encarcelamiento político; uno de ellos fue previamente atacado con spyware", dijo la Línea de Ayuda de Seguridad Digital de Access Now. Un periodista libanés anónimo también fue atacado en mayo de 2025 a través de **Apple Messages** y **WhatsApp** con enlaces maliciosos que suplantaban a **Apple Support**. Hacer clic en estos enlaces llevaba a páginas de recolección de credenciales. ### Abuso de OAuth y Tácticas Engañosas En el caso de Al-A'sar, el ataque comenzó con un mensaje de **LinkedIn** de una persona falsa, "Haifa Kareem", ofreciendo una oportunidad de trabajo. Esto llevó a una invitación a una llamada de **Zoom** con un enlace acortado usando **Rebrandly**. La URL redirigía a un ataque de phishing basado en consentimiento que aprovechaba OAuth 2.0 de Google para otorgar acceso no autorizado a través de una aplicación web maliciosa llamada "en-account.info". "A diferencia del ataque anterior, donde el atacante suplantaba el inicio de sesión de una cuenta de Apple y utilizaba un dominio falso, este ataque emplea el consentimiento de OAuth para aprovechar activos legítimos de Google y engañar a los objetivos para que proporcionen sus credenciales", dijo Access Now. Si el usuario no había iniciado sesión en Google, se le pedía que ingresara sus credenciales. Si ya había iniciado sesión, se le pedía que otorgara permiso a una aplicación controlada por el atacante, utilizando una función familiar de inicio de sesión de terceros. ### Superposición de Dominios con Campaña de Spyware para Android Notablemente, el dominio "com-ae[.]net" se superpone con una campaña de spyware para Android documentada por **ESET** en octubre de 2025. Esta campaña utilizó sitios web engañosos que suplantaban a **Signal**, **ToTok** y **Botim** para desplegar **ProSpy** y **ToSpy** a objetivos en los EAU.  El dominio "encryption-plug-in-signal.com-ae[.]net" se utilizó como vector de acceso inicial para ProSpy, haciéndose pasar por un plugin de cifrado inexistente para Signal. ProSpy puede exfiltrar datos sensibles, incluidos contactos, mensajes SMS, metadatos del dispositivo y archivos locales. ### Alcance del Compromiso e Implicaciones de Vigilancia Si bien las cuentas de los periodistas egipcios no fueron violadas, la cuenta de **Apple** del periodista libanés fue completamente comprometida, con la adición de un dispositivo virtual para acceso persistente. Access Now sugiere que esta operación puede ser parte de un esfuerzo de vigilancia regional más amplio dirigido a las comunicaciones y datos personales. ### Atribución al Grupo APT Bitter Lookout atribuye estas campañas a una operación de hackeo por contrato vinculada a **Bitter**, un grupo de amenazas que se cree que está encargado de la recopilación de inteligencia para el gobierno indio, operativo desde al menos 2022. La campaña probablemente ha atacado a víctimas en Bahréin, los EAU, Arabia Saudita, el Reino Unido, Egipto y potencialmente EE. UU., basándose en dominios de phishing y señuelos de malware ProSpy. ### Conexiones de Infraestructura y Similitudes de Malware Los vínculos con Bitter provienen de conexiones de infraestructura entre "com-ae[.]net" y "youtubepremiumapp[.]com", un dominio marcado por **Cyble** y **Meta** en agosto de 2022 en relación con un esfuerzo de espionaje que distribuía el malware para Android **Dracarys**. Esto implicó sitios falsos que imitaban servicios de confianza como **YouTube**, **Signal**, **Telegram** y **WhatsApp**. El análisis de Lookout también revela similitudes entre Dracarys y ProSpy, a pesar de que ProSpy se desarrolló más tarde utilizando Kotlin en lugar de Java. Ambas familias utilizan lógica de trabajadores y convenciones de nomenclatura similares para las clases de trabajadores, y ambas utilizan comandos C2 numerados. ### Incertidumbres sobre la Participación de Bitter Lo que sigue sin estar claro es si esto representa una expansión del papel de Bitter, o una superposición entre Bitter y un grupo de hackeo por contrato desconocido. "No sabemos si esto representa una expansión del papel de Bitter, o si es una indicación de superposición entre Bitter y un grupo de hackeo por contrato desconocido", agregó Lookout. "Lo que sí sabemos es que el malware móvil continúa siendo un medio principal para espiar a la sociedad civil, ya sea comprado a través de un proveedor de vigilancia comercial, subcontratado a una organización de hackeo por contrato, o desplegado directamente por el actor."