安全研究人员近日表示，他们识别出一个受雇黑客组织，持续在中东和北非地区发动定向攻击，目标包括记者、活动人士以及政府官员。相关行动通过网络钓鱼获取受害者的 iCloud 凭证和 Signal 账户控制权，并在安卓设备上植入间谍软件，以远程操控目标设备。

多家机构联合调查

数字权利组织 Access Now 的研究人员记录了 2023 年至 2025 年间的三起相关攻击事件，受害者包括两名埃及记者和一名黎巴嫩记者。后者的案例同时也由数字权利组织 SMEX 进行记录。

移动网络安全公司 Lookout 亦对同一系列攻击展开调查。Access Now、SMEX 和 Lookout 三方在合作基础上，于周三分别发布了各自的调查报告。

攻击范围与目标

Lookout 的调查显示，攻击对象并不限于埃及和黎巴嫩的民间社会成员，还包括巴林和埃及的政府目标，以及位于阿联酋、沙特阿拉伯、英国的个人，甚至可能涉及美国或美国大学校友。

Lookout 认为，实施攻击的黑客为一家受雇黑客供应商工作，该供应商被指与 BITTER APT 有关联。BITTER APT 是一个被多家网络安全公司怀疑与印度政府有关联的黑客组织。

与印度受雇黑客公司的关联

Lookout 首席研究员 Justin Albrecht 在接受 TechCrunch 采访时表示，此次行动背后的公司可能是印度受雇黑客初创企业 Appin 的一个分支，并提到名为 RebSec 的公司是可能的嫌疑对象。

路透社曾在 2022 年和 2023 年发布关于 Appin 及其他类似印度公司的调查报道，指称这些公司受雇对企业高管、政治人物和军方官员等目标实施网络攻击。报道指出，Appin 随后显然已经关闭。

Albrecht 指出，此次新行动的发现表明，这类活动“并未消失，只是转移到了规模更小的公司”。他表示，这些组织及其客户享有“合理否认权，因为他们运营所有行动和基础设施”。在他看来，对于客户而言，雇用此类黑客组织的成本可能低于购买商业间谍软件。

据报道，RebSec 未就相关指控作出回应，该公司已删除其社交媒体账户和网站。

Access Now 数字安全热线调查员兼主管 Mohammed Al-Maskati 表示，这类行动“变得更便宜，且更容易规避责任，尤其是我们无法得知最终客户身份，基础设施也不会暴露背后实体”。

攻击手法：iCloud 凭证与安卓间谍软件

调查显示，相关黑客行动采用多种技术手段。在针对 iPhone 用户时，攻击者通过伪造页面或信息诱骗受害者泄露 Apple ID 凭证，从而访问其 iCloud 备份。研究人员指出，一旦获取备份内容，攻击者即可有效访问目标 iPhone 上的大部分数据。

Access Now 在报告中称，这种方式“可能是比使用更复杂昂贵的 iOS 间谍软件更廉价的替代方案”。

在针对安卓用户时，攻击者使用名为 ProSpy 的间谍软件。该软件伪装成 Signal、WhatsApp、Zoom 等流行通讯应用，以及在中东地区广泛使用的 ToTok 和 Botim，以诱导受害者下载安装。

部分案例中，攻击者还尝试诱骗受害者在其 Signal 账户中注册并添加由黑客控制的新设备。研究人员指出，这一技术已被包括俄罗斯间谍在内的多个黑客组织采用。

外包趋势与工具能力

安全研究人员认为，此次事件凸显出部分政府机构将黑客行动外包给私人受雇黑客公司的趋势。一些政府被指依赖商业公司开发间谍软件和漏洞利用工具，以供警方和情报机构访问手机数据。

研究人员同时指出，尽管 BITTER 等组织可能不具备最先进的黑客和间谍工具，其所采用的战术在实际攻击中仍然表现出较高的有效性。

截至发稿，印度驻华盛顿特区大使馆发言人未对置评请求作出回应。