中東諸国の複数の市民社会関係者、特にエジプトとレバノンの3人の著名なジャーナリストが、槍型フィッシングキャンペーンの標的になっており、これは既知の南アジアのサイバースパイグループに関連している可能性があります。
このキャンペーンは、デジタル市民権組織Access Nowが2025年8月にそのデジタルセキュリティヘルプラインを通じて検出されました。エジプトの著名なジャーナリストであるモスタファ・アル=アサールとアハメド・エルタンタウィからの情報提供によるものです。
グローバルな非営利組織であるAccess Nowは、エジプト政府の著名な批評家であり、以前に政治的投獄に直面したことのある両個人が、2023年から2024年にかけて実施された槍型フィッシングキャンペーンの標的になっていたことを発見しました。
キャンペーンを調査するにあたり、Access Nowはフィッシングインフラストラクチャに関連するAndroidマルウェアを発見しました。
NGOは、モバイルセキュリティ企業Lookoutの研究者に連絡し、研究者らはこのキャンペーンがBitter高度な永続的脅威(APT)グループに関連した「最もありそうな」ハッキング企業作戦であると評価しました。
Bitterはまた、T-APT-17とAPT-C-08としても知られており、2013年以降少なくともアクティブである疑いのある南アジアのサイバースパイ脅威グループです。MITRE ATT&CKによると、このグループはパキスタン、中国、バングラデシュ、サウジアラビアの政府機関、エネルギー機関、エンジニアリング機関を標的にしてきました。
ESET の研究者が2025年10月に、メッセージングアプリを装った2つのAndroidスパイウェア菌株についてのレポートを共有し、アラブ首長国連邦(UAE)のユーザーを標的にしていました。
Lookoutは、これらのインプラント(ESETによってProSpyおよびToSpyと名付けられましたが、Lookoutではのみ ProSpyとして追跡されている)が、Access Nowが特定したキャンペーンで市民社会を標的にするために使用されていたことを決定しました。
並行して、西アジアと北アフリカ全域でデジタル権を提唱するベイルートを拠点とする非営利組織であるSMEXは、2025年に同じ槍型フィッシングキャンペーンの標的になった名前のない著名なレバノンのジャーナリストを特定しました。
中東における新しい槍型フィッシングキャンペーン
4月8日に発表されたAccess Nowレポートによると、攻撃者は2023年10月と2024年1月にアル・アサールとエルタンタウィのAppleおよびGoogleアカウントを侵害しようとする槍型フィッシングキャンペーンを開始し、継続していました。
NGOは、攻撃者が「様々なチャネルを通じて標的との接続を確立するために時間と努力に投資した」と述べました。
これを行うために、彼らは偽のアカウントとプロファイル、メッセージ、ページを使用して正当な人物およびサービスになりすまし、ProSpy/ToSpyマルウェアを配信するために一般的なサービスやプラットフォームを模倣しました。
メッセージングアプリのSignalは、槍型フィッシングキャンペーンの標的プラットフォームの1つでした。
2026年3月、Signalはそのようななりすましフィッシングキャンペーンについての公開警告を共有しました。
アルアサールがAppleからの正当なメッセージを受け取っていると思い、彼はアカウント認証情報を入力しましたが、エジプトの遠い場所から疑わしい2要素認証(2FA)ログイン通知を受け取ったときにさらに進めることを控えました。
エルタンタウィはフィッシング誘導に全く関与せず、攻撃者は最終的に彼またはアル・アサールのアカウントを侵害することに失敗したとAccess Nowは述べました。
「彼らが成功していたならば、彼らは標的のAppleおよび/またはGoogleアカウント内の個人情報および職業上の情報への妨げられない方法でのアクセスを获得していたであろう、そしてそれは彼らの家族、関係者および報道ソースに関する情報を含んでいる,」研究者は述べました。
このAndroidスパイウェアは攻撃者に被害者のファイル、個人用連絡先、テキストメッセージおよび地理的位置情報にアクセスして抽出することを許可し、デバイスマイクとカメラを有効にし、さらにターゲットのデバイスに悪意のあるアプリをインストールすることができました。
4月8日に発表された別個のレポートによってSMEXによって文書化されたレバノンのジャーナリストを標的にした攻撃は、同様の戦術を使用していましたが、2025年に標的のAppleアカウントの侵害に成功していました。
キャンペーンは2025年5月にApple Messagesを通じて配信された初期の攻撃で開始され、2日後に、2つの異なるフィッシングメッセージで構成されたWhatsAppを通じた第2波が続きました。
両方の波は同じ悪意のあるインフラストラクチャを使用し、被害者のAppleアカウントを侵害することを目指していました。
攻撃を検出した後、標的は5月25日にSMEXのデジタル法医学ラボ(DFL)に連絡し、高いリスクと持続的な脅威のため、直ちに調査をして求めました。
最初の攻撃はAppleアカウントを侵害して仮想デバイスを追加することに成功しましたが、法医学的証拠は、ケースがインシデントのわずか数日後にのみ報告されたため制限されていました。2番目の波は失敗しましたが、研究者はユーザー名、パスワード、2FAコードなどを含む完全な認証情報詐取を取得し、すべての攻撃で同じインフラストラクチャが使用されたことを明らかにしました。
その分析はさらに、攻撃者が被害者がパスワードを送信した時点からわずか30秒でアカウント乗っ取りを実行したことを示しました。
Lookout研究者は、同じキャンペーンがバーレーン、バーレーン政府機関、UAE、サウジアラビア、英国、エジプト政府機関、そして潜在的に米国または米国大学の卒業生を含む被害者も標的にしていると考えていると述べました。
ProSpyスパイウェアの分析
Lookout研究者はまた、キャンペーンで使用されたProSpy Androidマルウェアに関する詳細を共有し、彼らは11のサンプルを取得し、最も早いものは2024年8月に見つかりました。
研究者によると、ProSpyはDarkSword、Coruna、Predatorなどのトップティアのスパイウェアほど洗練されていませんが、Kotlinプログラミング言語を使用して「比較的専門的な方法で」開発されました。ProSpyは、個人情報の収集と機密ファイルの詐取などの一般的なスパイウェア機能を統合しています。
サンプル分析は、その保守者が長年にわたって新しい機能を追加してきたことを示し、スパイウェアが積極的に開発されていることを示しています。
Lookout研究者はまた、ProSpyサンプルを配布するために使用されるライブステージングサーバーを発見しました。これらのステージングサイトは、特定のメッセージングアプリケーション向けの単純なシングルページWebサイトで、被害者に悪意のあるAPKファイルをダウンロードするように誘導しています。
通常、脅威グループは、最初に偽のソーシャルメディアプロファイル経由で標的に連絡するか、Appleサポートになりすまして、その後、槍型フィッシングリンクをクリックするようにだましてProSpyを配信するために2段階の攻撃を使用しています。
Appleユーザーは偽のiCloudまたはE2EEアプリフィッシングページで誘導され、Androidユーザーはtotok-pro[.]ai-ae[.]ioなどの欺瞞的なドメインでホストされている偽のToTokアプリ更新など、ProSpyマルウェアをダウンロードするように指示されます。
悪意のあるサイトは、英語とアラビア語でAPKファイルを配信し、検出を回避するためにランダム化されたURLで攻撃をカモフラージュしています。
Bitter APTへの帰属:技術的リンクと変化する標的
Lookout研究者は、複数の技術的および運用上の重複を通じてProSpyマルウェアキャンペーンをBitter APTグループに関連付けました。
彼らは、以前にBitterのDracarysマルウェアに関連付けられたドメインcom-ae[.]netなどの共有インフラストラクチャ、および番号付きコマンドアンドコントロール(C2)コマンドと「pro/premium」アプリタイトルの使用を含むワーカークラスの命名規約などのコード類似性を見つけました。
ProSpyとDracarysは何年も離れて開発されましたが、構造的および行動的な類似性は、Bitterのandroidデバイスを標的にする履歴とPHPベースのC2インフラストラクチャの使用と相まって、帰属を強化しました。
しかし、Lookoutは、Bitterの典型的な標的(軍事、エネルギーおよび政府機関)が、Access NowおよびSMEXによって特定されたProSpyキャンペーンで侵害された市民社会および野党勢力と一致しなかったことに注意しました。
この矛盾、およびBitterと南アジアに関連するインドのハッキング企業グループ間の過去のオーバーラップは、研究者がこの作戦がBitterの範囲の拡張を表すか、または南アジアに関連したハッキング企業の一団との協力を表す可能性があると結論付けることにつながりました。
既知の傭兵グループへの直接的なリンクが見つからなかったが、証拠はBitter、または密接に関連する実体が、中東および北アフリカ地域でスパイ活動を実施するために採用された可能性が高いことを示唆していました。これはグループが市民社会を標的にしたことが初めて文書化されたケースです。
翻訳元: https://www.infosecurity-magazine.com/news/middle-east-hack-operation-bitter/
