Im Fall von Al-A’sar begann der auf sein Google-Konto gerichtete Angriff mit einer LinkedIn-Nachricht eines Fake-Profils namens „Haifa Kareem", das ihm ein Jobangebot unterbreitete. Nachdem der Journalist Mobilnummer und E-Mail-Adresse geteilt hatte, erhielt er am 24. Januar 2024 eine E-Mail mit der Aufforderung, über einen mit Rebrandly gekürzten Link an einem Zoom-Anruf teilzunehmen.

Laut Access Now handelte es sich dabei um einen zustimmungsbasierten Phishing-Angriff, der Googles OAuth 2.0 missbraucht. Über eine bösartige Web-Anwendung namens „en-account.info" sollte der Angreifer unbefugten Zugriff auf das Konto erhalten. Anders als beim vorherigen Angriff, bei dem eine gefälschte Apple-Anmeldung und eine Fake-Domain genutzt wurden, setzt diese Methode auf die OAuth-Zustimmung und damit auf legitime Google-Dienste. Ist die Zielperson bereits angemeldet, wird sie aufgefordert, einer vom Angreifer kontrollierten Anwendung Berechtigungen zu erteilen.

SMEX, eine Nichtregierungsorganisation für digitale Rechte in der Region West-Asien und Nordafrika, beschreibt die Angriffe auf den libanesischen Journalisten als anhaltende Attacken über iMessage und WhatsApp, bei denen sich die Täter als Apple Support ausgaben. Der Schwerpunkt habe auf Apple-Diensten gelegen, doch deuteten Hinweise darauf hin, dass auch Telegram und Signal ins Visier genommen wurden.

Die Konten der beiden ägyptischen Journalisten wurden letztlich nicht kompromittiert. Beim libanesischen Journalisten gelang dies laut SMEX hingegen beim ersten Angriff am 19. Mai 2025: Das Apple-Konto wurde vollständig übernommen und ein virtuelles Gerät hinzugefügt, um dauerhaften Zugriff zu sichern. Eine zweite Angriffswelle scheiterte.

Eine der genutzten Domains, „com-ae[.]net", überschneidet sich mit einer Android-Spyware-Kampagne, die das slowakische Sicherheitsunternehmen ESET im Oktober 2025 dokumentierte. Dabei wurden über gefälschte Websites, die Signal, ToTok und Botim imitierten, die Schadprogramme ProSpy und ToSpy gegen Ziele in den Vereinigten Arabischen Emiraten verbreitet. Die Domain „encryption-plug-in-signal.com-ae[.]net" diente als Einfallstor für ProSpy, das sich als nicht existierendes Verschlüsselungs-Plugin für Signal ausgab und Kontakte, SMS, Gerätemetadaten und lokale Dateien abgreift.

Lookout führt die Kampagne auf eine Hack-for-Hire-Operation mit Verbindungen zu Bitter zurück, einem seit mindestens 2022 aktiven Bedrohungscluster, das Geheimdienstaufgaben im Interesse der indischen Regierung wahrnehmen soll. Den beobachteten Domains und ProSpy-Ködern zufolge dürften Ziele in Bahrain, den Vereinigten Arabischen Emiraten, Saudi-Arabien, Großbritannien, Ägypten und möglicherweise den USA betroffen sein.

Die Verbindung zu Bitter ergibt sich aus Infrastruktur-Überschneidungen zwischen „com-ae[.]net" und „youtubepremiumapp[.]com" – einer Domain, die Cyble und Meta im August 2022 mit Bitter und der Verbreitung der Android-Malware Dracarys in Verbindung brachten. Lookout fand zudem Ähnlichkeiten zwischen Dracarys und ProSpy, obwohl letzteres Jahre später in Kotlin statt Java entwickelt wurde: Beide nutzen eine ähnliche Worker-Logik und nummerierte C2-Befehle.

Ungewöhnlich ist, dass Bitter bislang nie mit Spionage gegen die Zivilgesellschaft in Verbindung gebracht wurde. Lookout lässt daher offen, ob es sich um eine Ausweitung der Aktivitäten von Bitter handelt oder um eine bislang unbekannte Hack-for-Hire-Gruppe mit Überschneidungen. Sicher sei nur, dass mobile Schadsoftware ein zentrales Mittel der Überwachung der Zivilgesellschaft bleibe.