hu, 09 Apr 2026
← VoltarUma campanha de hacking vinculada a um ator afiliado ao governo indiano teve como alvo jornalistas e autoridades no MENA por meio de spear-phishing. Críticos egípcios proeminentes foram comprometidos por meio de credenciais falsas e páginas 2FA.
Uma aparente campanha de hacking de aluguer, provavelmente orquestrada por um agente ameaçador com suspeitas de ligações ao governo indiano, tinha como alvo jornalistas, ativistas e funcionários governamentais em todo o Médio Oriente e Norte de África (MENA), de acordo com as conclusões da Access Now, Lookout e SMEX. Dois dos alvos incluíam jornalistas egípcios proeminentes e críticos do governo, Mostafa Al-A'sar e Ahmed Eltantawy, que foram vítimas de uma série de ataques de spear-phishing que procuraram comprometer as suas contas Apple e Google em outubro de 2023 e janeiro de 2024, direcionando-os para páginas falsas que os enganaram para que introduzissem as suas credenciais e códigos de autenticação de dois fatores (2FA). “Os ataques foram realizados de 2023 a 2024, e ambos os alvos são críticos proeminentes do governo egípcio que já enfrentaram prisão política; um deles foi anteriormente alvo de spyware”, disse a linha de ajuda de segurança digital da Access Now. Também apontado como parte desses esforços foi um jornalista libanês anônimo, que recebeu mensagens de phishing em maio de 2025 por meio do aplicativo Apple Messages e do WhatsApp contendo links maliciosos que, quando clicados, enganavam os usuários para que inserissem as credenciais de suas contas como parte de uma suposta etapa de verificação da Apple.
“A campanha de phishing incluiu ataques persistentes via iMessage/Apple Messenger e aplicativo WhatsApp, [...] representando o suporte da Apple”, disse SMEX, uma organização sem fins lucrativos de direitos digitais na região da Ásia Ocidental e Norte da África (WANA). “Embora o foco principal desta campanha pareça ser os serviços da Apple, as evidências sugerem que outras plataformas de mensagens, nomeadamente Telegram e Signal, também foram visadas.” No caso de Al-A'sar, o ataque de spear-phishing destinado a comprometer sua conta do Google começou com uma mensagem no LinkedIn de um fantoche chamado “Haifa Kareem”, que o abordou com uma oportunidade de emprego. Depois que o jornalista compartilhou seu número de celular e endereço de e-mail com o usuário do LinkedIn, ele recebeu um e-mail deste último em 24 de janeiro de 2024, instruindo-o a participar de uma chamada do Zoom clicando em um link encurtado pelo Rebrandly. O URL é avaliado como um ataque de phishing baseado em consentimento que utiliza o OAuth 2.0 do Google para conceder ao invasor acesso não autorizado à conta da vítima por meio de um aplicativo da web malicioso chamado “en-account.info”.
“Ao contrário do ataque anterior, onde o invasor se passou por um login de conta da Apple e usou um domínio falso, este ataque emprega o consentimento OAuth para aproveitar ativos legítimos do Google para enganar os alvos e fazê-los fornecer suas credenciais”, disse Access Now. "Se o usuário alvo não estiver conectado ao Google, ele será solicitado a inserir suas credenciais (nome de usuário e senha). Mais comumente, se o usuário já estiver conectado, ele será solicitado a conceder permissão a um aplicativo que o invasor controla, usando um recurso de login de terceiros que é familiar para a maioria dos usuários do Google." Alguns dos domínios usados nesses ataques de phishing estão listados abaixo - signin-apple.com-en-uk[.]co id-apple.com-en[.]io facetime.com-en[.]io secure-signal.com-en[.]io telegram.com-en[.]io verify-apple.com-ae[.]net join-facetime.com-ae[.]net android.com-ae[.]net crypto-plug-in-signal.com-ae[.]net Curiosamente, o uso do domínio "com-ae[.]net" se sobrepõe a uma campanha de spyware para Android que a empresa eslovaca de segurança cibernética ESET documentou em outubro de 2025, destacando o uso de sites enganosos que se fazem passar por Signal, ToTok e Botim para implantar ProSpy e ToSpy para alvos não especificados nos Emirados Árabes Unidos. Especificamente, o domínio "encryption-plug-in-signal.com-ae[.]net" foi usado como vetor de acesso inicial para ProSpy, alegando ser um plugin de criptografia inexistente para Signal.
O spyware vem equipado com recursos para exfiltrar dados confidenciais, como contatos, mensagens SMS, metadados de dispositivos e arquivos locais. Nenhuma das contas dos jornalistas egípcios acabou por ser infiltrada. No entanto, a SMEX revelou que o ataque inicial que teve como alvo o jornalista libanês em 19 de maio de 2025, comprometeu completamente sua conta Apple e resultou na adição de um dispositivo virtual à conta para obter acesso persistente aos dados da vítima. A segunda onda de ataques não teve sucesso.
Embora não haja provas de que os três jornalistas tenham sido alvo de spyware, as provas mostram que os agentes da ameaça podem utilizar os métodos e a infraestrutura associados aos ataques para entregar cargas maliciosas e exfiltrar dados sensíveis. “Isto sugere que a operação que identificámos pode fazer parte de um esforço de vigilância regional mais amplo que visa monitorizar as comunicações e recolher dados pessoais”, afirmou o Access Now. A Lookout, na sua própria análise destas campanhas, atribuiu os esforços díspares a uma operação de hack-for-hire com ligações ao Bitter, um grupo de ameaças que está avaliado como encarregado de esforços de recolha de informações no interesse do governo indiano. A campanha de espionagem está operacional desde pelo menos 2022.
Com base nos domínios de phishing observados e nas iscas de malware ProSpy, a campanha provavelmente teve como alvo vítimas no Bahrein, nos Emirados Árabes Unidos, na Arábia Saudita, no Reino Unido, no Egito e, potencialmente, nos EUA, ou ex-alunos de universidades dos EUA, indicando que os ataques vão além dos membros da sociedade civil egípcia e libanesa. “A operação apresenta uma combinação de spear-phishing direcionado, entregue por meio de contas falsas de mídia social e aplicativos de mensagens, aproveitando esforços persistentes de engenharia social, que podem resultar na entrega de spyware para Android, dependendo do dispositivo do alvo”, disse a empresa de segurança cibernética. Os links da campanha para o Bitter resultam de conexões de infraestrutura entre "com-ae[.]net" e "youtubepremiumapp[.]com", um domínio sinalizado pela Cyble e Meta em agosto de 2022 como vinculado ao Bitter em relação a um esforço de espionagem que usou sites falsos que imitavam serviços confiáveis como YouTube, Signal, Telegram e WhatsApp para distribuir um malware Android chamado Dracarys. A análise da Lookout também descobriu semelhanças entre Dracarys e ProSpy, apesar deste último ter sido desenvolvido anos depois usando Kotlin em vez de Java.
“Ambas as famílias usam lógica de trabalho para lidar com tarefas e nomeiam as classes de trabalho de forma semelhante. Ambas também usam comandos C2 numerados”, acrescentou a empresa. "Enquanto o ProSpy exfiltra dados para endpoints de servidores começando com 'v3', o Dracarys exfiltra dados para endpoints de servidores começando com 'r3'." Apesar dessas conexões, o que torna a campanha incomum é que Bitter nunca foi atribuído a campanhas de espionagem visando membros da sociedade civil. Isto levantou duas possibilidades: ou é o trabalho de uma operação de hack-for-hire com ligações ao Bitter ou o próprio agente da ameaça está por detrás dela, caso em que poderia indicar uma expansão do seu âmbito de segmentação.
“Não sabemos se isso representa uma expansão do papel do Bitter ou se é uma indicação de sobreposição entre o Bitter e um grupo desconhecido de hackers de aluguel”, acrescentou Lookout. “O que sabemos é que o malware móvel continua a ser o principal meio de espionagem da sociedade civil, quer seja adquirido através de um fornecedor de vigilância comercial, subcontratado a uma organização de aluguer de hackers ou implementado diretamente por um Estado-nação”.