**Access Now**、**Lookout**、**SMEX**による調査結果は、政府を批判する個人に対する標的型攻撃の懸念すべき傾向を明らかにしています。 ### AppleおよびGoogleアカウントを標的とした標的型メール攻撃 2023年10月と2024年1月、エジプトの著名なジャーナリストであり政府批判者でもあるMostafa Al-A'sar氏とAhmed Eltantawy氏は、標的型メール攻撃を受けました。これらの攻撃は、偽のログインページに誘導して認証情報と2要素認証（2FA）コードを盗むことを目的としていました。 Access NowのDigital Security Helplineは、「攻撃は2023年から2024年にかけて実行され、両方の標的はエジプト政府の著名な批判者であり、過去に政治的投獄に直面したことがあります。そのうちの一人は以前スパイウェアの標的にもなっています」と述べています。 匿名のアラブ首長国連邦のジャーナリストも、2025年5月に**Apple Messages**と**WhatsApp**を通じて、**Apple Support**を装った悪意のあるリンクで標的にされました。これらのリンクをクリックすると、認証情報収集ページに誘導されました。 ### OAuthの悪用と欺瞞的な戦術 Al-A'sar氏のケースでは、攻撃は「Haifa Kareem」という偽のペルソナからの**LinkedIn**メッセージで始まり、求人機会を提示しました。これが、**Rebrandly**を使用して短縮されたリンクを持つ**Zoom**通話の招待につながりました。URLは、GoogleのOAuth 2.0を悪用して、「en-account.info」という悪意のあるWebアプリケーションを介して不正なアクセスを許可する、同意ベースのフィッシング攻撃にリダイレクトされました。 Access Nowは、「以前の攻撃では、攻撃者がAppleアカウントのログインを偽装し、偽のドメインを使用していましたが、今回の攻撃ではOAuthの同意を利用して正規のGoogleアセットを悪用し、標的を欺いて認証情報を提供させています」と述べています。 ユーザーがGoogleにログインしていない場合、認証情報の入力が求められました。すでにログインしている場合は、見慣れたサードパーティのサインイン機能を使用して、攻撃者が制御するアプリケーションへのアクセス許可を求められました。 ### Androidスパイウェアキャンペーンとのドメイン重複 注目すべきは、ドメイン「com-ae[.]net」が、2025年10月に**ESET**によって文書化されたAndroidスパイウェアキャンペーンと重複していることです。このキャンペーンは、**Signal**、**ToTok**、**Botim**を装った欺瞞的なWebサイトを使用して、アラブ首長国連邦の標的に**ProSpy**と**ToSpy**を展開しました。  ドメイン「encryption-plug-in-signal.com-ae[.]net」は、Signal用の存在しない暗号化プラグインを装ったProSpyの初期アクセスベクトルとして使用されました。ProSpyは、連絡先、SMSメッセージ、デバイスメタデータ、ローカルファイルを含む機密データを外部に送信できます。 ### 侵害の範囲と監視への影響 エジプトのジャーナリストのアカウントは侵害されませんでしたが、アラブ首長国連邦のジャーナリストの**Apple Account**は完全に侵害され、永続的なアクセスを可能にする仮想デバイスが追加されました。Access Nowは、この操作が通信や個人データを標的とした、より広範な地域的監視活動の一部である可能性を示唆しています。 ### Bitter APTグループへの帰属 Lookoutは、これらのキャンペーンを、少なくとも2022年から活動しており、インド政府の諜報活動のために任務を遂行しているとされる脅威クラスターである**Bitter**に関連するハック・フォー・ハイヤー（情報収集請負）操作に帰属させています。 フィッシングドメインとProSpyマルウェアの誘引に基づいて、このキャンペーンはバーレーン、アラブ首長国連邦、サウジアラビア、英国、エジプト、そしておそらく米国で標的を攻撃した可能性があります。 ### インフラストラクチャの接続とマルウェアの類似性 Bitterへの関連性は、「com-ae[.]net」と「youtubepremiumapp[.]com」というドメイン間のインフラストラクチャの接続から来ています。このドメインは、2022年8月に**Cyble**と**Meta**によって、**YouTube**、**Signal**、**Telegram**、**WhatsApp**などの信頼できるサービスを模倣した偽のサイトを介した**Dracarys** Androidマルウェアの配布に関連する諜報活動としてフラグが立てられました。 Lookoutの分析では、ProSpyはJavaではなくKotlinを使用して後に開発されたにもかかわらず、DracarysとProSpyの類似性も明らかになっています。両方のファミリーは、ワーカーロジックとワーカークラスの類似した命名規則を使用しており、両方とも番号付きのC2コマンドを使用しています。 ### Bitterの関与に関する不確実性 これがBitterの役割の拡大なのか、それともBitterと未知のハック・フォー・ハイヤー（情報収集請負）グループとの重複なのかは不明なままです。 Lookoutは、「これがBitterの役割の拡大なのか、それともBitterと未知のハック・フォー・ハイヤー（情報収集請負）グループとの重複の兆候なのかは分かりません。私たちが知っているのは、それが商用監視ベンダーから購入されたものか、ハック・フォー・ハイヤー（情報収集請負）組織にアウトソースされたものか、あるいはアクターによって直接展開されたものかにかかわらず、モバイルマルウェアが市民社会を監視するための主要な手段であり続けているということです」と付け加えています。