過去1年間、サイバーセキュリティの専門家は、中東全域のジャーナリスト、政治家、市民社会の構成員を標的とする大規模なスパイ活動キャンペーンを観察しています。
多くのハッカーが開発に数百万ドルもかかる高価で隠密なツールを使用していますが、このオペレーションはソーシャルエンジニアリングや偽のモバイルアプリケーションなどのより簡単な方法に依存しています。
Access NowのデジタルセキュリティヘルプラインとLookout 脅威インテリジェンスチームの研究者は、エジプトでのフィッシング攻撃の調査に続いて、2025年8月にこのキャンペーンを発見しました。
攻撃者は被害者をだますために慎重な2段階のアプローチを使用します。まず、LinkedInなどのソーシャルメディアプラットフォーム上で偽のプロフィールを使用して接触するか、Apple Supportになりすまして直接メッセージを送ります。彼らは標的に悪意のあるスピアフィッシングリンクをクリックするよう圧力をかけます。
これらのリンクは、偽のZoomミーティング招待、Microsoft Officeログインページ、パッケージ追跡アラートなど、ユーザーをだますための様々な偽のテーマを使用します。
彼らはまた、Signalのコード機能を悪用する巧妙な手口も使用しており、これはハッカーに被害者の暗号化されたメッセージへの完全なアクセス権を秘密裏に付与します。
このキャンペーンの起源を追跡することで、研究者は南アジアを拠点とする有名なハッキンググループであるBITTER APTへのリンクを発見しました。
2013年以来活動しているBITTERは、通常、情報収集のために政府、軍事、エネルギー部門を標的に攻撃を集中させています。
しかし、中東での市民社会とジャーナリストの標的化は、この脅威グループにとって完全に新しい行動です。
接続は、マルウェアを拡散させるために使用されたウェブインフラストラクチャを分析することで確立されました。セキュリティ専門家は、ProSpyキャンペーンで使用されたウェブサイトドメインが、2022年にBITTERによって使用された古いAndroidスパイウェアである「Dracarys」に以前リンクされていたことを発見しました。
両方のマルウェアファミリーは驚くほど似たコーディング構造を共有しています。両者とも同一のタスク処理ロジックを使用し、サーバからの番号付きコマンドに依存し、セキュアメッセージングアプリの「pro」または「premium」バージョンとして偽装しています。
市民社会の標的化はBITTERの通常の活動の完全な外側にあるため、研究者は強くこれが「ハッカー雇用」キャンペーンであると疑っています。
未知のエンティティは、これらの特定の中東の標的をスパイするために、BITTERと関連する傭兵ハッキンググループに支払った可能性があります。
インドを拠点とする以前のハッカー雇用会社は中東を以前に標的にしており、しばしば同様のフィッシング戦術を使用してAndroidデバイスに強く焦点を当てています。
高度なモバイルマルウェアはもはや国家がスポンサーとなるスパイに限定されていません。商業ベンダーと雇用ハッキンググループを通じてますます利用可能になっています。
これらの脅威が増え続けるにつれて、組織とリスク中の個人は、勧誘されていないメッセージについて高度に注意深くあり、非公式なウェブサイトからアプリケーションをダウンロードすることを避ける必要があります。
翻訳元: https://cyberpress.org/prospy-targets-messaging-users/