Eine neue Analyse von Access Now, Lookout und SMEX offenbart eine koordinierte Spionagekampagne, die seit mindestens 2023 aktiv ist und Journalisten sowie Regierungskritiker in der MENA-Region systematisch ins Visier nimmt. Die Sicherheitsexperten führen die Anschläge auf eine Hack-for-Hire-Operation mit vermuteten Verbindungen zum indischen Geheimdienst zurück – genauer gesagt auf das als „Bitter” bekannte Bedrohungsnetzwerk.
Die Methoden sind raffiniert und multi-layered: Die Angreifer erstellen gefälschte Social-Media-Profile, um sich Vertrauenspersonen auszugeben und ihre Opfer in Phishing-Fallen zu locken. Ein prominentes Beispiel ist der ägyptische Journalist Mostafa Al-A’sar, der über ein LinkedIn-Profil namens „Haifa Kareem” mit einer vermeintlichen Jobofferte kontaktiert wurde. Nach dem Austausch von Kontaktdaten erhielt Al-A’sar eine E-Mail mit einem Zoom-Link – tatsächlich ein Google-OAuth-2.0-basierter Phishing-Angriff mittels der Domain „en-account.info”, der seinen Google-Account kompromittieren sollte. Besonders perfide ist die Taktik: Nutzer werden entweder zur Eingabe ihrer Zugangsdaten aufgefordert oder – wenn bereits angemeldet – dazu verleitet, einer böswilligen Applikation Zugriff zu gewähren.
Ein libanesischer Journalist wurde im Mai 2025 über iMessage und WhatsApp angegriffen und verlor die Kontrolle über seinen Apple-Account vollständig. Die Angreifer fügten dem Konto ein virtuelles Gerät hinzu, um persistenten Zugriff auf alle Daten zu sichern. Während die ägyptischen Journalisten ihre Konten verteidigten, zeigt dieser Fall die ernsthafte Bedrohung.
Die Infrastruktur weist klare Verbindungen zu Bitter auf: Die Domain „com-ae.net” überschneidet sich mit einer Android-Spyware-Kampagne, die die Sicherheitsfirma ESET dokumentierte. Sie wurde zur Verbreitung von ProSpy und ToSpy genutzt – Malware-Varianten, die Kontakte, SMS-Nachrichten, Geräte-Metadaten und Dateien exfiltrieren können. Besonders interessant: ProSpy und die ältere Dracarys-Malware (2022) von Bitter nutzen ähnliche Worker-Logiken und C2-Kommandos, obwohl ProSpy in Kotlin und Dracarys in Java geschrieben sind.
Was diese Kampagne ungewöhnlich macht: Bitter hat sich bisher auf Geheimdienst-Ziele konzentriert, nicht auf Journalisten und Zivilgesellschaft. Das deutet entweder auf eine Ausweitung des Aktionsradius hin oder auf eine Zusammenarbeit mit unbekannten Hack-for-Hire-Gruppen. Die geografische Reichweite erstreckt sich auf Bahrain, die VAE, Saudi-Arabien, Ägypten, den Libanon, Großbritannien und möglicherweise die USA.
Die Kampagne illustriert, wie Geheimdienste und kommerzielle Cyberkriminelle zunehmend ausgefeilte Social-Engineering-Techniken nutzen, um auf Mobilgeräten zuzugreifen – ein besonders wirksames Angriffsvektor gegen Journalisten und Aktivisten.