Nach Darstellung von Access Now und Lookout stützt sich die Zuordnung auf technische Spuren: „Unsere Untersuchung zeigte, dass es eine dauerhafte Infrastruktur für Angriffe gibt; wir fanden sich überschneidende Domains, Hosting und Ähnlichkeiten im Code", heißt es im Bericht.
Dieselbe Infrastruktur könne es Angreifern dem Bericht zufolge ermöglichen, Android-Spyware auszuliefern. Diese sei potenziell in der Lage, auf Dateien, persönliche Kontakte, Textnachrichten und Standortdaten der Opfer zuzugreifen und sie zu extrahieren, Mikrofone und Kameras der Geräte zu aktivieren sowie schädliche Apps zu installieren.
Um die Schadsoftware zu platzieren, legten die Angreifer laut Access Now gefälschte Kontoprofile und Nachrichten an und traten als legitime Dienste und Plattformen auf, darunter Signal. In einem Fall erhielt ein Betroffener eine Nachricht, die den Anschein erweckte, von Apple zu stammen. Er gab seine Zugangsdaten ein, brach den Vorgang aber ab, nachdem er eine „verdächtige" Benachrichtigung zur Zwei-Faktor-Authentifizierung von einem Standort in Ägypten erhalten hatte.
Beide Betroffenen wurden in der Vergangenheit von ägyptischen Behörden verfolgt und hatten sich gegen das Regime gestellt. Mostafa Al-A’sar ist Journalist und Menschenrechtsverteidiger; er verbrachte fast vier Jahre in ägyptischer Haft, bevor er das Land verließ.
Der ebenfalls bekannte Journalist Ahmed Eltantawy berichtete kritisch über die Regierung und wurde später Parlamentsabgeordneter. Er hatte geplant, 2023 gegen Präsident Abdel Fattah al-Sisi anzutreten, zog seine Kandidatur dann aber zurück, nachdem Dutzende seiner Unterstützer und Angehörigen festgenommen worden waren und ihm der Wahlkampf untersagt wurde. Später wurde er inhaftiert. Das Forschungsinstitut Citizen Lab stellte fest, dass sein Telefon im September 2021 sowie erneut zwischen Mai und September 2023 mit der Predator-Spyware von Intellexa angegriffen worden war.
„Diese Hack-for-Hire-Kampagne offenbart eine weitere Waffe im Arsenal bösartiger Akteure, die entschlossen sind, abweichende Meinungen zu unterdrücken und jene zum Schweigen zu bringen, die die Wahrheit aussprechen", erklärte Marwa Fatafta, Direktorin bei Access Now. Spearphishing sei oft eine günstigere Alternative oder eine Ergänzung zu Spyware; man schlage deshalb Alarm — insbesondere als Warnung an Journalisten im Nahen Osten und in Nordafrika, vorsichtig zu sein und ihre digitalen Gewohnheiten abzusichern.
