印度黑客盯上中東記者：3年釣魚鏈曝光，2名埃及人已被盯上

2023年10月到2024年1月，兩名埃及記者先后收到LinkedIn私信。發(fā)信人叫"Haifa Kareem"，頭像精致，履歷漂亮，開口就是工作機會。三個月后，同一批人換了個馬甲，把釣魚鏈接塞進了WhatsApp。

這不是普通詐騙。Access Now、Lookout和SMEX三家機構(gòu)聯(lián)合追蹤發(fā)現(xiàn)，這是一場持續(xù)至少兩年的"雇傭黑客"行動，幕后指向與印度政府有關(guān)聯(lián)的威脅行為體。

目標(biāo)清單讀起來像中東新聞圈的點名冊：埃及政府批評者Mostafa Al-A'sar、前議員Ahmed Eltantawy，還有一位要求匿名的黎巴嫩記者。三人的共同點？都曾在本國因言論吃過苦頭，其中一人之前就被間諜軟件盯上過。

釣魚手法老派但有效。Al-A'sar的遭遇堪稱教科書：LinkedIn上建立信任，套取手機號和郵箱，三天后收到Zoom會議鏈接。鏈接用Rebrandly縮短，點進去是Google OAuth授權(quán)頁——不是假登錄框，是真的Google域名，真的權(quán)限申請流程。

OAuth釣魚：讓用戶親手遞鑰匙

傳統(tǒng)釣魚偽造登錄頁，用戶輸完賬號密碼，攻擊者后臺收割。OAuth釣魚更隱蔽：攻擊者注冊一個名為"en-account.info"的惡意應(yīng)用，誘導(dǎo)用戶點擊"使用Google登錄"。

用戶看到的界面完全合法。Google彈窗詢問：是否允許該應(yīng)用訪問您的郵箱、聯(lián)系人、云端硬盤？大多數(shù)人掃一眼權(quán)限列表就點了同意。這一點的后果是，攻擊者拿到長期訪問令牌，不需要知道密碼，不需要破解2FA，直接在后臺同步你的郵件。

Access Now的技術(shù)分析指出，這種"consent-based phishing"（基于同意的釣魚）專門利用用戶對大品牌認證流程的信任。Google的OAuth 2.0機制本身沒問題，但用戶對"Google讓我點"的慣性，成了攻擊者的跳板。

Al-A'sar的同事Ahmed Eltantawy在2023年10月遭遇的是另一套劇本：偽造Apple ID登錄頁，配合2FA驗證碼實時截取。攻擊者甚至搭建了完整的Apple視覺克隆站，從字體到動效一絲不茍。

iMessage成了新戰(zhàn)場

2025年5月，那位匿名黎巴嫩記者收到的消息直接來自Apple Messages。發(fā)件人顯示"Apple Support"，內(nèi)容稱賬戶異常需驗證，附鏈接。同一時期，WhatsApp也收到類似消息。

SMEX的調(diào)查顯示，這輪campaign對蘋果生態(tài)的執(zhí)念近乎偏執(zhí)。iMessage、Apple ID、iCloud——全是入口。但技術(shù)痕跡顯示，Telegram和Signal也在目標(biāo)范圍內(nèi)，只是曝光的攻擊實例較少。

選擇蘋果有其算計。中東高端用戶群體iPhone滲透率極高，記者、活動家、政府官員往往是首批換機人群。蘋果的品牌溢價在這里轉(zhuǎn)化成了信任溢價：收到"Apple"發(fā)來的消息，警惕閾值天然更低。

攻擊時間線也經(jīng)過精密計算。Al-A'sar的LinkedIn接觸發(fā)生在2024年1月，埃及大選剛結(jié)束，社會張力處于高點。Eltantawy被攻擊的2023年10月，他正準(zhǔn)備宣布參選意向。黎巴嫩記者的釣魚消息出現(xiàn)在2025年5月，該國正處于戰(zhàn)后重建與政治重組的敏感窗口。

Bitter APT的老套路與新包裝

三家機構(gòu)將此次活動歸因于Bitter APT——一個至少2013年起活躍的組織，歷史上多次被指向印度情報背景。Bitter的傳統(tǒng)手藝是定向釣魚加水坑攻擊，目標(biāo)橫跨巴基斯坦、中國、沙特阿拉伯的軍政機構(gòu)。

這次campaign有Bitter的簽名式痕跡：LinkedIn虛假人設(shè)、Rebrandly短鏈接、對中東地緣政治目標(biāo)的偏好。但也有進化——OAuth釣魚在Bitter過往行動中罕見，更常見于東歐網(wǎng)絡(luò)犯罪集團。

Lookout的移動威脅情報團隊注意到，攻擊者開始混合"雇傭黑客"的商業(yè)模式與國家級的目標(biāo)選擇。被盯上的三人沒有商業(yè)間諜價值，但有明確的政治監(jiān)控價值。這種"國家動機+犯罪手法"的雜交，讓歸因變得復(fù)雜。

Al-A'sar的遭遇有個細節(jié)值得玩味。他在Linked上與"Haifa Kareem"周旋期間，對方曾要求發(fā)送簡歷。他照做了——PDF格式，包含詳細職業(yè)經(jīng)歷。技術(shù)分析師推測，這份簡歷可能用于構(gòu)建更精準(zhǔn)的后續(xù)攻擊，或評估其社交圖譜價值。

換句話說，釣魚只是入口。攻擊者真正想要的是持久訪問：郵件內(nèi)容揭示信息源，云端文件暴露調(diào)查材料，聯(lián)系人列表勾勒關(guān)系網(wǎng)絡(luò)。對記者而言，這比單純的設(shè)備入侵更致命。

防御缺口：當(dāng)2FA變成擺設(shè)

OAuth釣魚的陰險之處在于，它繞過了傳統(tǒng)安全教育的核心假設(shè)。用戶被反復(fù)告誡：開2FA，別點陌生鏈接，檢查網(wǎng)址拼寫。這三條對OAuth攻擊幾乎無效。

2FA保護的是密碼泄露場景。但OAuth流程中，用戶從未輸入密碼——只是點了"同意"。網(wǎng)址也是真的google.com，只是路徑參數(shù)里藏了惡意應(yīng)用的客戶端ID。安全培訓(xùn)沒教過普通人如何識別這個。

Google在2024年逐步收緊OAuth應(yīng)用審核，新注冊應(yīng)用需要更嚴格的驗證流程。但攻擊者顯然找到了時間窗口，或利用歷史遺留的已審核應(yīng)用。

蘋果端的防御更被動。iMessage的"報告垃圾信息"功能對偽裝成官方的支持消息識別有限，用戶看到藍色氣泡（iMessage）而非綠色（SMS），警惕性反而下降。蘋果在iOS 17后加強了釣魚鏈接的預(yù)覽警告，但社交工程的核心——偽造緊急感和權(quán)威感——技術(shù)難以攔截。

Access Now建議高風(fēng)險用戶啟用Google的高級保護計劃（Advanced Protection Program），該計劃強制使用硬件安全密鑰，并限制第三方應(yīng)用權(quán)限。但這項服務(wù)需要額外配置，對非技術(shù)用戶門檻不低。

雇傭黑客市場的暗面

"Hack-for-hire"不是新詞，但市場規(guī)模和專業(yè)化程度在近年急劇膨脹。以色列NSO集團的倒臺曾讓外界以為商業(yè)間諜軟件行業(yè)受挫，事實是需求只是轉(zhuǎn)移了——從打包產(chǎn)品轉(zhuǎn)向定制服務(wù)。

Bitter這類組織的優(yōu)勢在于成本結(jié)構(gòu)。相比NSO動輒數(shù)百萬美元的年度訂閱，雇傭黑客按項目收費，單價可能低至五位數(shù)美元。對預(yù)算有限但監(jiān)控需求迫切的行為體，這是更具性價比的選擇。

目標(biāo)選擇也反映市場細分。傳統(tǒng)APT盯著國防、能源、金融基礎(chǔ)設(shè)施；雇傭黑客承接"軟目標(biāo)"訂單——記者、NGO人員、反對派政客。這些目標(biāo)技術(shù)防護弱，但情報價值不低，且攻擊暴露后的外交風(fēng)險可控。

SMEX的報告中提到一個未被充分討論的角度：黎巴嫩記者的遭遇顯示，攻擊者開始利用平臺間的信任落差。iMessage用戶默認認為藍色氣泡更安全，攻擊者就偽造藍色氣泡來源。WhatsApp以端到端加密著稱，用戶看到鏈接可能更少猶豫。每個平臺的安全敘事，都被轉(zhuǎn)化為攻擊向量。

這場campaign的曝光本身也有戰(zhàn)術(shù)價值。三家機構(gòu)選擇此時發(fā)布報告，部分原因是2025年5月的黎巴嫩案例提供了最新證據(jù)鏈。但更深層考量可能是威懾——讓攻擊者知道工具集已被分析，迫使更換基礎(chǔ)設(shè)施，抬高其運營成本。

Al-A'sar在事后接受Access Now訪談時提到，他最終沒有點擊那個Zoom鏈接，因為"Haifa Kareem"的英語有微妙的不自然之處。這個細節(jié)沒有被寫進技術(shù)分析，但可能是整個攻擊鏈中最關(guān)鍵的變量。

技術(shù)防御有其邊界。當(dāng)攻擊者擁有國家級資源、商業(yè)級耐心和犯罪級靈活性，最后一道防線往往是最古老的：人對異常信號的直覺。

問題是，這種直覺能靠訓(xùn)練復(fù)制嗎？還是只屬于那些已經(jīng)被騙過、被關(guān)過、被監(jiān)控過的人？