As descobertas da **Access Now**, **Lookout** e **SMEX** revelam uma tendência preocupante de ataques direcionados contra indivíduos críticos de seus governos. ### Ataques de Spear-Phishing Visam Contas Apple e Google Dois proeminentes jornalistas e críticos do governo egípcio, Mostafa Al-A'sar e Ahmed Eltantawy, foram submetidos a ataques de spear-phishing em outubro de 2023 e janeiro de 2024. Esses ataques visavam comprometer suas contas **Apple** e **Google**, redirecionando-os para páginas de login falsas projetadas para roubar credenciais e códigos de autenticação de dois fatores (2FA). "Os ataques foram realizados de 2023 a 2024, e ambos os alvos são críticos proeminentes do governo egípcio que já enfrentaram prisão política; um deles já foi alvo de spyware anteriormente", disse a Digital Security Helpline da Access Now. Um jornalista libanês anônimo também foi alvo em maio de 2025 via **Apple Messages** e **WhatsApp** com links maliciosos que se passavam por **Apple Support**. Clicar nesses links levava a páginas de coleta de credenciais. ### Abuso de OAuth e Táticas Enganosas No caso de Al-A'sar, o ataque começou com uma mensagem no **LinkedIn** de um perfil falso, "Haifa Kareem", oferecendo uma oportunidade de emprego. Isso levou a um convite para uma chamada no **Zoom** com um link encurtado usando **Rebrandly**. O URL redirecionou para um ataque de phishing baseado em consentimento, aproveitando o OAuth 2.0 do Google para conceder acesso não autorizado por meio de um aplicativo web malicioso chamado "en-account.info". "Ao contrário do ataque anterior, onde o invasor se passava pelo login de uma conta Apple e usava um domínio falso, este ataque emprega consentimento OAuth para alavancar ativos legítimos do Google para enganar os alvos a fornecerem suas credenciais", disse a Access Now. Se o usuário não estivesse logado no Google, ele era solicitado a inserir suas credenciais. Se já estivesse logado, era solicitado a conceder permissão a um aplicativo controlado pelo invasor, usando um recurso familiar de login de terceiros. ### Sobreposição de Domínio com Campanha de Spyware para Android Notavelmente, o domínio "com-ae[.]net" se sobrepõe a uma campanha de spyware para Android documentada pela **ESET** em outubro de 2025. Essa campanha usou sites enganosos que se passavam por **Signal**, **ToTok** e **Botim** para implantar **ProSpy** e **ToSpy** em alvos nos Emirados Árabes Unidos.  O domínio "encryption-plug-in-signal.com-ae[.]net" foi usado como um vetor de acesso inicial para o ProSpy, disfarçado como um plugin de criptografia inexistente para Signal. O ProSpy pode exfiltrar dados sensíveis, incluindo contatos, mensagens SMS, metadados do dispositivo e arquivos locais. ### Extensão do Comprometimento e Implicações de Vigilância Embora as contas dos jornalistas egípcios não tenham sido violadas, a **Conta Apple** do jornalista libanês foi totalmente comprometida, com um dispositivo virtual adicionado para acesso persistente. A Access Now sugere que esta operação pode fazer parte de um esforço de vigilância regional mais amplo visando comunicações e dados pessoais. ### Atribuição ao Grupo APT Bitter A Lookout atribui essas campanhas a uma operação de hack-for-hire ligada ao **Bitter**, um cluster de ameaças que se acredita ser encarregado de coleta de inteligência para o governo indiano, operacional desde pelo menos 2022. A campanha provavelmente visou vítimas no Bahrein, Emirados Árabes Unidos, Arábia Saudita, Reino Unido, Egito e potencialmente nos EUA, com base em domínios de phishing e iscas de malware ProSpy. ### Conexões de Infraestrutura e Semelhanças de Malware As ligações com o Bitter decorrem de conexões de infraestrutura entre "com-ae[.]net" e "youtubepremiumapp[.]com", um domínio sinalizado pela **Cyble** e **Meta** em agosto de 2022 em conexão com um esforço de espionagem que distribuía o malware Android **Dracarys**. Isso envolveu sites falsos imitando serviços confiáveis como **YouTube**, **Signal**, **Telegram** e **WhatsApp**. A análise da Lookout também revela semelhanças entre o Dracarys e o ProSpy, apesar do ProSpy ter sido desenvolvido posteriormente usando Kotlin em vez de Java. Ambas as famílias usam lógica de worker e convenções de nomenclatura semelhantes para classes de worker, e ambas usam comandos C2 numerados. ### Incertezas Quanto ao Envolvimento do Bitter O que permanece incerto é se isso representa uma expansão do papel do Bitter ou uma sobreposição entre o Bitter e um grupo de hack-for-hire desconhecido. "Não sabemos se isso representa uma expansão do papel do Bitter, ou se é uma indicação de sobreposição entre o Bitter e um grupo de hack-for-hire desconhecido", acrescentou a Lookout. "O que sabemos é que malware móvel continua sendo um meio primário de espionar a sociedade civil, seja comprado através de um fornecedor comercial de vigilância, terceirizado para uma organização de hack-for-hire, ou implantado diretamente pelo ator."