Una aparente campaña de piratería a sueldo probablemente orquestada por un actor de amenazas con presuntos vínculos con el gobierno indio tuvo como objetivo a periodistas, activistas y funcionarios gubernamentales en todo el Medio Oriente y el Norte de África (MENA), según hallazgos de Access Now, Lookout y SMEX.
Dos de los objetivos incluían a destacados periodistas egipcios y críticos del gobierno, Mostafa Al-A’sar y Ahmed Eltantawy, quienes fueron los destinatarios de una serie de ataques de phishing que buscaban comprometer sus cuentas de Apple y Google en octubre de 2023 y enero de 2024 dirigiéndolos a páginas falsas que los engañaban para que ingresaran sus credenciales y códigos de autenticación de dos factores (2FA).
«Los ataques se llevaron a cabo entre 2023 y 2024, y ambos objetivos son destacados críticos del gobierno egipcio que anteriormente se enfrentaron a prisión política; uno de ellos fue atacado anteriormente con software espía», dijo la línea de ayuda de seguridad digital de Access Now.
También se destacó como parte de estos esfuerzos a un periodista libanés anónimo, que recibió mensajes de phishing en mayo de 2025 a través de la aplicación Apple Messages y WhatsApp que contenían enlaces maliciosos que, al hacer clic, engañaban a los usuarios para que ingresaran las credenciales de su cuenta como parte de un supuesto paso de verificación de Apple.
«La campaña de phishing incluyó ataques persistentes a través de iMessage/Apple Messenger y la aplicación WhatsApp, (…) haciéndose pasar por Apple Support», dijo SMEX, una organización sin fines de lucro de derechos digitales en la región de Asia Occidental y África del Norte (WANA). «Si bien el foco principal de esta campaña parece ser los servicios de Apple, la evidencia sugiere que otras plataformas de mensajería, como Telegram y Signal, también fueron atacadas».
En el caso de Al-A’sar, el ataque de phishing dirigido a comprometer su cuenta de Google comenzó con un mensaje en LinkedIn de un personaje títere llamado «Haifa Kareem», quien se acercó a él con una oportunidad de trabajo. Después de que el periodista compartiera su número de móvil y dirección de correo electrónico con el usuario de LinkedIn, recibió un correo electrónico de este último el 24 de enero de 2024, indicándole que se uniera a una llamada de Zoom haciendo clic en un enlace acortado con Rebrandly.
Se considera que la URL es un ataque de phishing basado en el consentimiento que aprovecha OAuth 2.0 de Google para otorgar al atacante acceso no autorizado a la cuenta de la víctima a través de una aplicación web maliciosa llamada «en-account.info».
«A diferencia del ataque anterior, donde el atacante se hizo pasar por un inicio de sesión de una cuenta de Apple y utilizó un dominio falso, este ataque emplea el consentimiento de OAuth para aprovechar los activos legítimos de Google para engañar a los objetivos para que proporcionen sus credenciales», dijo Access Now.
«Si el usuario objetivo no ha iniciado sesión en Google, se le solicita que ingrese sus credenciales (nombre de usuario y contraseña). Más comúnmente, si el usuario ya inició sesión, se le solicita que otorgue permiso a una aplicación que controla el atacante, utilizando una función de inicio de sesión de terceros que es familiar para la mayoría de los usuarios de Google».
Algunos de los dominios utilizados en estos ataques de phishing se enumeran a continuación:
- signin-apple.com-en-uk(.)co
- id-apple.com-en(.)io
- facetime.com-en(.)io
- señal-segura.com-en(.)io
- telegram.com-en(.)io
- verificar-apple.com-ae(.)net
- unirse-facetime.com-ae(.)net
- android.com-ae(.)net
- cifrado-plug-in-signal.com-ae(.)net
Curiosamente, el uso del dominio «com-ae(.)net» se superpone con una campaña de software espía para Android que la empresa eslovaca de ciberseguridad ESET documentó en octubre de 2025, destacando el uso de sitios web engañosos que se hacen pasar por Signal, ToTok y Botim para implementar ProSpy y ToSpy en objetivos no especificados en los Emiratos Árabes Unidos.
Específicamente, el dominio «encryption-plug-in-signal.com-ae(.)net» se utilizó como vector de acceso inicial para ProSpy afirmando ser un complemento de cifrado inexistente para Signal. El software espía viene equipado con capacidades para filtrar datos confidenciales como contactos, mensajes SMS, metadatos del dispositivo y archivos locales.
Al final, ninguna de las cuentas de los periodistas egipcios fue infiltrada. Sin embargo, SMEX reveló que el ataque inicial dirigido al periodista libanés el 19 de mayo de 2025 comprometió completamente su cuenta de Apple y resultó en la adición de un dispositivo virtual a la cuenta para obtener acceso persistente a los datos de la víctima. La segunda oleada de ataques no tuvo éxito.
Si bien no hay evidencia de que los tres periodistas hayan sido atacados con software espía, la evidencia muestra que los actores de amenazas pueden usar los métodos y la infraestructura asociados con los ataques para entregar cargas útiles maliciosas y filtrar datos confidenciales.
«Esto sugiere que la operación que identificamos puede ser parte de un esfuerzo de vigilancia regional más amplio destinado a monitorear las comunicaciones y recopilar datos personales», dijo Access Now.
Lookout, en su propio análisis de estas campañas, atribuyó los esfuerzos dispares a una operación de piratería a sueldo con vínculos con Bitter, un grupo de amenazas que se considera encargado de los esfuerzos de recopilación de inteligencia en interés del gobierno indio. La campaña de espionaje ha estado operativa desde al menos 2022.
Según los dominios de phishing observados y los señuelos del malware ProSpy, la campaña probablemente se haya dirigido a víctimas en Bahrein, los Emiratos Árabes Unidos, Arabia Saudita, el Reino Unido, Egipto y potencialmente los EE. UU., o ex alumnos de universidades estadounidenses, lo que indica que los ataques van más allá de los miembros de la sociedad civil egipcia y libanesa.
«La operación presenta una combinación de phishing dirigido dirigido a través de cuentas falsas de redes sociales y aplicaciones de mensajería que aprovechan esfuerzos persistentes de ingeniería social, lo que puede resultar en la entrega de software espía de Android dependiendo del dispositivo del objetivo», dijo la compañía de ciberseguridad.
Los vínculos de la campaña con Bitter provienen de conexiones de infraestructura entre «com-ae(.)net» y «youtubepremiumapp(.)com», un dominio señalado por Cyble y Meta en agosto de 2022 como vinculado a Bitter en relación con un esfuerzo de espionaje que utilizó sitios falsos que imitaban servicios confiables como YouTube, Signal, Telegram y WhatsApp para distribuir un malware de Android denominado Dracarys.
El análisis de Lookout también ha descubierto similitudes entre Dracarys y ProSpy, a pesar de que este último se desarrolló años después utilizando Kotlin en lugar de Java. «Ambas familias usan la lógica de los trabajadores para manejar las tareas y nombran las clases de trabajadores de manera similar. También usan comandos C2 numerados», agregó la compañía. «Mientras ProSpy exfiltra datos a los terminales del servidor que comienzan con ‘v3’, Dracarys exfiltra datos a los terminales del servidor que comienzan con ‘r3′».
A pesar de estas conexiones, lo que hace que la campaña sea inusual es que Bitter nunca ha sido atribuido a campañas de espionaje dirigidas a miembros de la sociedad civil. Esto ha planteado dos posibilidades: o es el trabajo de una operación de piratería a sueldo con vínculos con Bitter o el propio actor de la amenaza está detrás de esto, en cuyo caso podría indicar una expansión de su alcance de ataque.
«No sabemos si esto representa una expansión del papel de Bitter, o si es una indicación de superposición entre Bitter y un grupo desconocido de hackers a sueldo», añadió Lookout. «Lo que sí sabemos es que el malware móvil sigue siendo un medio principal para espiar a la sociedad civil, ya sea adquirido a través de un proveedor de vigilancia comercial, subcontratado a una organización de piratería contratada o implementado directamente por un estado nación».