一个在2023年至2024年间横跨中东的定向钓鱼活动现已与南亚 Bitter APT组织相关联。

中东一些国家的民间社会人士，包括埃及和黎巴嫩的三位知名记者，都成为网络钓鱼攻击的目标，该攻击很可能与一个已知的南亚网络间谍组织有关。

Access Now 在调查这些网络钓鱼活动时发现了与钓鱼基础设施相关的 Android 恶意软件。

该非政府组织联系了移动安全公司 Lookout 的研究人员，后者评估认为这些攻击活动“极有可能”是与 Bitter 高级持续性威胁 (APT) 组织有关联的雇佣黑客行动。

Bitter，又名 T-APT-17 和 APT-C-08，是一个疑似南亚网络间谍威胁组织，至少从 2013 年起就十分活跃。根据MITRE ATT&CK的说法，该组织曾以巴基斯坦、中国、孟加拉国和沙特阿拉伯的政府、能源和工程机构为目标。

ESET 的研究人员在 2025 年 10 月发布了一份报告，指出有两种Android 间谍软件伪装成即时通讯应用，并以阿拉伯联合酋长国 (UAE) 的用户为目标。

Lookout 认定，这些植入程序（ESET 将其命名为 ProSpy 和 ToSpy，但 Lookout 只将其追踪为 ProSpy）被用于 Access Now 所发现的针对公民社会的攻击活动中。

中东出现新的鱼叉式网络钓鱼活动

根据Access Now于 4 月 8 日发布的一份报告，攻击者于 2023 年 10 月发起了一场鱼叉式网络钓鱼活动，试图入侵 Al-A'sar 和 Eltantawy 的 Apple 和 Google 帐户，该活动一直持续到 2024 年 1 月。

该非政府组织表示，袭击者“投入了大量时间和精力，通过各种渠道与目标建立联系”。

为了达到这个目的，他们使用虚假账户和个人资料、消息和页面冒充合法人员和服务，模仿常见服务和平台来传播 ProSpy/ToSpy 恶意软件。

即时通讯应用 Signal 是此次网络钓鱼攻击的目标平台之一。

研究人员表示：“如果攻击者成功了，他们就能畅通无阻地访问目标人物的苹果和/或谷歌账户中的个人和职业信息，包括有关其家人、同事和新闻来源的信息。”

这种安卓间谍软件可能允许攻击者访问和提取受害者的文件、个人联系人、短信和地理位置信息，启用设备的麦克风和摄像头，以及在目标设备上安装其他恶意应用程序。

SMEX 在 4 月 8 日发布的另一份报告中记录了针对黎巴嫩记者的攻击，该攻击使用了类似的策略，但于 2025 年成功入侵了目标的 Apple 帐户。

该攻击活动始于2025年5月，最初通过苹果信息应用发起攻击。两天后，第二波攻击通过WhatsApp发起，包含两条独立的钓鱼信息。

这两波攻击都使用了相同的恶意基础设施，目的是入侵受害者的苹果账户。

检测到攻击后，目标于 5 月 25 日联系了 SMEX 的数字取证实验室 (DFL)，由于风险高且威胁持续存在，促使 SMEX 立即展开调查。

虽然第一次攻击成功入侵了苹果账户并添加了一个虚拟设备，但由于案件在事发几天后才被报告，因此取证证据有限。第二次攻击失败了，但研究人员捕获到了完整的凭证窃取过程，包括用户名、密码和双因素认证码，这表明所有攻击都使用了相同的底层架构。

分析进一步表明，攻击者从受害者提交密码的那一刻起，最快只需 30 秒即可完成账户接管。

Lookout 的研究人员表示，他们认为同一行动可能也针对巴林的受害者，包括巴林政府机构、阿联酋、沙特阿拉伯、英国、埃及政府机构，以及可能包括美国或美国大学的校友。

ProSpy间谍软件分析

Lookout 的研究人员还分享了有关攻击活动中使用的 ProSpy Android 恶意软件的详细信息，他们获得了 11 个样本，最早的样本发现于 2024 年 8 月。

研究人员表示，虽然ProSpy不如DarkSword、Coruna和Predator等顶级间谍软件那样复杂，但它是使用Kotlin编程语言“以相对专业的方式”开发的。ProSpy集成了常见的间谍软件功能，例如收集私人信息和窃取敏感文件。

样本分析显示，该间谍软件的维护者多年来不断为其添加新功能，表明该间谍软件正在积极开发中。

Lookout 的研究人员还发现了用于分发 ProSpy 样本的实时测试服务器。这些测试网站是简单的单页网站，专门针对特定的即时通讯应用程序，目的是诱骗受害者下载恶意 APK 文件。

通常，该威胁组织会使用两阶段攻击来传播 ProSpy，首先通过虚假的社交媒体个人资料或冒充 Apple 支持人员联系目标，然后诱骗他们点击鱼叉式网络钓鱼链接。

苹果用户会被虚假的 iCloud 或 E2EE 应用钓鱼页面引诱，而安卓用户则会被引导下载 ProSpy 恶意软件，例如通过托管在欺骗性域名（如 totok-pro[.]ai-ae[.]io）上的虚假 ToTok 应用更新。

该恶意网站提供英文和阿拉伯文的 APK 文件，并使用随机生成的 URL 来伪装攻击，以逃避检测。

Bitter APT攻击的归因：技术联系和不断变化的目标

Lookout 的研究人员通过多项技术和操作上的重叠，将 ProSpy 恶意软件活动与 Bitter APT 组织联系起来。

他们发现了共享的基础设施，例如之前与 Bitter 的 Dracarys 恶意软件相关的域名com-ae[.]net，以及代码相似性，包括工作类命名约定、编号的命令和控制 (C2) 命令以及在应用程序标题中使用“专业/高级”诱饵。

虽然 ProSpy 和 Dracarys 的开发时间相隔数年，但它们在结构和行为上的相似性，再加上 Bitter 针对 Android 设备的历史以及使用基于 PHP 的 C2 基础设施，加强了归因关系。

然而，Lookout 指出，Bitter 的典型目标（军事、能源和政府实体）与 Access Now 和 SMEX 在 ProSpy 活动中确定的被渗透的民间社会和反对派人士并不一致。

这一差异，加上 Bitter 与印度雇佣黑客组织过去的重叠，让研究人员得出结论：此次行动可能代表 Bitter 的范围扩大，或者与一家与南亚有关的雇佣黑客组织合作。

虽然没有发现与已知雇佣兵组织的直接联系，但证据表明，Bitter或与其关系密切的实体很可能受雇在中东和北非地区进行间谍活动，这标志着该组织首次有记录地以民间社会为目标。