Les conclusions de **Access Now**, **Lookout** et **SMEX** révèlent une tendance préoccupante d'attaques ciblées contre des individus critiques envers leurs gouvernements. ### Des attaques de spear-phishing ciblent les comptes Apple et Google Deux journalistes égyptiens et critiques du gouvernement, Mostafa Al-A'sar et Ahmed Eltantawy, ont été victimes d'attaques de spear-phishing en octobre 2023 et janvier 2024. Ces attaques visaient à compromettre leurs comptes **Apple** et **Google** en les redirigeant vers de fausses pages de connexion conçues pour voler leurs identifiants et leurs codes d'authentification à deux facteurs (2FA). « Les attaques ont été menées de 2023 à 2024, et les deux cibles sont des critiques éminents du gouvernement égyptien qui ont déjà été emprisonnés politiquement ; l'un d'eux a déjà été ciblé par des logiciels espions », a déclaré la ligne d'assistance de sécurité numérique d'Access Now. Un journaliste libanais anonyme a également été ciblé en mai 2025 via **Apple Messages** et **WhatsApp** avec des liens malveillants se faisant passer pour le **Support Apple**. Cliquer sur ces liens menait à des pages de collecte d'identifiants. ### Abus d'OAuth et tactiques trompeuses Dans le cas d'Al-A'sar, l'attaque a commencé par un message **LinkedIn** d'un faux profil, « Haifa Kareem », offrant une opportunité d'emploi. Cela a conduit à une invitation à une réunion **Zoom** avec un lien raccourci à l'aide de **Rebrandly**. L'URL redirigeait vers une attaque de phishing basée sur le consentement, exploitant l'OAuth 2.0 de Google pour accorder un accès non autorisé via une application web malveillante nommée « en-account.info ». « Contrairement à l'attaque précédente, où l'attaquant se faisait passer pour une connexion de compte Apple et utilisait un faux domaine, cette attaque utilise le consentement OAuth pour exploiter des actifs légitimes de Google afin de tromper les cibles et de leur faire fournir leurs identifiants », a déclaré Access Now. Si l'utilisateur n'était pas connecté à Google, il était invité à saisir ses identifiants. S'il était déjà connecté, il était invité à accorder l'autorisation à une application contrôlée par l'attaquant, en utilisant une fonctionnalité familière de connexion tierce. ### Chevauchement de domaines avec une campagne de logiciels espions Android Notamment, le domaine « com-ae[.]net » chevauche une campagne de logiciels espions Android documentée par **ESET** en octobre 2025. Cette campagne utilisait des sites web trompeurs se faisant passer pour **Signal**, **ToTok** et **Botim** pour déployer **ProSpy** et **ToSpy** auprès de cibles aux Émirats arabes unis.  Le domaine « encryption-plug-in-signal.com-ae[.]net » a été utilisé comme vecteur d'accès initial pour ProSpy, se faisant passer pour un plugin de chiffrement inexistant pour Signal. ProSpy peut exfiltrer des données sensibles, y compris les contacts, les messages SMS, les métadonnées de l'appareil et les fichiers locaux. ### Étendue des compromissions et implications de surveillance Bien que les comptes des journalistes égyptiens n'aient pas été piratés, le compte **Apple** du journaliste libanais a été entièrement compromis, avec l'ajout d'un appareil virtuel pour un accès persistant. Access Now suggère que cette opération pourrait faire partie d'un effort de surveillance régional plus large ciblant les communications et les données personnelles. ### Attribution au groupe APT Bitter Lookout attribue ces campagnes à une opération de piratage pour embauche liée à **Bitter**, un groupe de menaces soupçonné d'être chargé de la collecte de renseignements pour le gouvernement indien, opérationnel depuis au moins 2022. La campagne a probablement ciblé des victimes à Bahreïn, aux Émirats arabes unis, en Arabie saoudite, au Royaume-Uni, en Égypte et potentiellement aux États-Unis, sur la base des domaines de phishing et des leurres de malware ProSpy. ### Connexions d'infrastructure et similitudes de malware Les liens avec Bitter proviennent de connexions d'infrastructure entre « com-ae[.]net » et « youtubepremiumapp[.]com », un domaine signalé par **Cyble** et **Meta** en août 2022 dans le cadre d'un effort d'espionnage distribuant le malware Android **Dracarys**. Cela impliquait de faux sites imitant des services de confiance tels que **YouTube**, **Signal**, **Telegram** et **WhatsApp**. L'analyse de Lookout révèle également des similitudes entre Dracarys et ProSpy, bien que ProSpy ait été développé plus tard en utilisant Kotlin au lieu de Java. Les deux familles utilisent une logique de travailleur et des conventions de nommage similaires pour les classes de travailleur, et les deux utilisent des commandes C2 numérotées. ### Incertitudes concernant l'implication de Bitter Ce qui reste flou, c'est de savoir si cela représente une expansion du rôle de Bitter ou un chevauchement entre Bitter et un groupe de piratage pour embauche inconnu. « Nous ne savons pas si cela représente une expansion du rôle de Bitter, ou si c'est une indication d'un chevauchement entre Bitter et un groupe de piratage pour embauche inconnu », a ajouté Lookout. « Ce que nous savons, c'est que les malwares mobiles continuent d'être un moyen principal d'espionner la société civile, qu'ils soient achetés auprès d'un fournisseur de surveillance commercial, sous-traités à une organisation de piratage pour embauche, ou déployés directement par l'acteur. »