夜雨聆风
过去一年,网络安全专家观察到,针对中东地区记者、政治家和民间社会成员的大规模间谍活动正在发生。
虽然许多黑客使用开发成本高达数百万美元的昂贵、隐蔽的工具,但此次行动依赖于更简单的方法,例如社会工程和虚假移动应用程序。
Access Now 数字安全热线和 Lookout威胁情报团队的研究人员在 2025 年 8 月对埃及的网络钓鱼攻击进行调查后发现了这一活动。
ProSpy如何感染和窃取数据
攻击者采用精心设计的两阶段方法来欺骗受害者。首先,他们利用虚假社交媒体平台(例如 LinkedIn)上的个人资料联系受害者,或冒充苹果客服发送私信。他们诱骗受害者点击恶意钓鱼链接。
这些链接使用各种虚假主题来欺骗用户,包括虚假的 Zoom 会议邀请、Microsoft Office 登录页面和包裹跟踪提醒。
他们还利用 Signal 的二维码链接功能,巧妙地让黑客能够秘密地完全访问受害者的加密消息。
追溯此次活动的起源,研究人员发现了与南亚知名黑客组织 BITTER APT 的联系。
BITTER 组织至少从 2013 年就开始活跃,其攻击目标通常是政府、军事和能源部门,目的是收集情报。
然而,针对中东民间社会和记者的袭击,对于这个威胁组织来说是一种全新的行为。
通过分析用于传播恶意软件的网络基础设施,确定了二者之间的关联。安全专家发现,ProSpy 攻击活动中使用的一个网站域名此前曾与“Dracarys”相关联,Dracarys 是 BITTER 公司在 2022 年使用的一种较早的安卓间谍软件。
这两个恶意软件家族的代码结构惊人地相似。它们都使用相同的任务处理逻辑,依赖于服务器发送的编号命令,并将自己伪装成安全消息应用程序的“专业版”或“高级版”。
由于针对公民社会的行为完全超出了 BITTER 的通常运作范围,研究人员强烈怀疑这是一场“雇佣黑客”行动。
某个不明实体可能雇佣了与 BITTER 有关联的雇佣黑客组织,对这些特定的中东目标进行间谍活动。
此前,总部位于印度的黑客雇佣公司曾将目标瞄准中东,他们通常使用类似的钓鱼攻击手段,并重点攻击安卓设备。
Lookout 的研究表明,这一发现凸显了网络安全领域日益增长且危险的趋势。
高级移动恶意软件不再局限于国家支持的间谍活动;越来越多的商业供应商和雇佣黑客组织也开始提供此类恶意软件。
随着这些威胁的不断增长,组织和易受攻击的个人必须对未经请求的消息保持高度警惕,并避免从非官方网站下载应用程序。
