印度黑客盯上中東記者：2年釣了3國7人，手法像流水線

2023年10月到2025年5月，埃及記者Mostafa Al-A'sar的郵箱里先后出現了兩封"工作邀約"。一封來自LinkedIn上的"Haifa Kareem"，另一封偽裝成蘋果客服。兩次釣魚，同一個幕后團隊——Access Now、Lookout和SMEX三家機構追蹤發現，這是一場橫跨中東北非的"黑客雇傭"行動，疑似與印度政府有關聯。

釣魚郵件的工業化生產

攻擊者的工具箱里沒什么新玩意兒，但組合得足夠精巧。針對Al-A'sar的第一波攻擊發生在2023年10月，假蘋果登錄頁騙他交出賬號密碼和二次驗證（2FA）碼。三個月后，同一批人換了個劇本：LinkedIn上的虛假人脈→Rebrandly短鏈接→Google OAuth授權頁面。

后者更隱蔽。用戶如果已登錄Google，看到的不是密碼框，而是一個"第三方應用請求權限"的界面。應用名叫"en-account.info"，披著合法Google資產的外衣。Access Now的分析指出："攻擊者利用的是用戶熟悉的登錄流程，而不是偽造的界面。"

受害者不止Al-A'sar一人。埃及另一位記者Ahmed Eltantawy在2024年1月收到類似攻擊，兩人都有個共同點：曾因批評政府入獄，其中一人此前就中過商業間諜軟件的招。2025年5月，一名匿名的黎巴嫩記者也收到iMessage和WhatsApp上的"蘋果支持"消息，鏈接指向同樣的憑證收割頁面。SMEX的記錄顯示，Telegram和Signal也在目標清單上。

時間線里的組織痕跡

把攻擊串成時間線，能看到明顯的運營節奏。2023年Q4到2024年Q1密集針對埃及目標，間隔不超過三個月；2025年Q2轉向黎巴嫩，平臺從郵件擴展到即時通訊。攻擊者沒有利用零日漏洞，而是堆疊社會工程學——假身份、假 urgency、假官方渠道。

這種"低技術、高運營"的模式，和典型的國家級APT（高級持續性威脅）不太一樣。Lookout的研究人員提到，基礎設施和TTP（戰術、技術與程序）與一個叫Bitter的組織存在重疊。Bitter是一個長期活躍的威脅組織，過去十年多次被關聯到針對南亞和中國目標的網絡間諜活動。

但這一次的目標地理和攻擊動機更值得玩味。中東北非的記者、活動家、政府官員——不是傳統意義上的情報價值目標，更像是"按需定制"的監控服務。Access Now在報告中用了"hack-for-hire"（雇傭黑客）這個詞，暗示攻擊者可能不是為自己干活。

OAuth釣魚的隱蔽升級

傳統的釣魚頁面容易被瀏覽器標記或用戶識破。OAuth授權流程不一樣——域名是合法的google.com，SSL證書沒問題，界面和用戶日常見過的第三方登錄一模一樣。攻擊者注冊一個惡意應用，誘導用戶點擊"同意"，就能拿到Gmail、云端硬盤、日歷的訪問令牌。

更麻煩的是，即使用戶事后改了密碼，令牌可能仍然有效，直到手動撤銷應用權限。大多數人根本不知道去哪里查"已授權第三方應用"這個 buried menu。

Al-A'sar收到的Rebrandly短鏈接，是這種攻擊的標準配件。短鏈服務掩蓋真實目的地，同時提供點擊統計，讓攻擊者能追蹤哪些目標"上了鉤"。LinkedIn上的"Haifa Kareem"賬號，則解決了釣魚的第一道難題：如何讓人點開鏈接。工作機會比"您的賬號異常"更有說服力，尤其是對自由撰稿人。

記者群體的結構性脆弱

三家機構的報告里有個細節容易被忽略：所有已確認的受害者，都是"已知的政府批評者"。這不是隨機撒網，而是精準點名。埃及和黎巴嫩的新聞環境，讓這類人群本身就處于多重監控之下——數字攻擊只是物理威脅的延伸。

SMEX的數字安全熱線記錄顯示，中東北非地區的記者求助量在2023-2024年上升了40%以上，釣魚和賬號接管是最常見的兩類事件。但多數受害者不會公開披露，Al-A'sar和Eltantawy愿意配合調查是例外。更多人選擇沉默，因為承認被黑可能暴露消息來源，或被視為"操作安全意識不足"的職業污點。

蘋果的生態系統在這次攻擊中成為主要入口，有點反直覺。iMessage和Apple ID通常被認為比開放安卓生態更安全，但"安全"本身成了社會工程的杠桿——用戶更信任"蘋果支持"的消息，更少懷疑iMessage上的鏈接。攻擊者顯然算準了這一點。

溯源的灰色地帶

報告將攻擊者與印度政府"疑似關聯"，但沒有給出直接證據。這種措辭在威脅情報領域很常見：基礎設施重疊、歷史行為模式、地緣政治動機，三者疊加形成"高置信度評估"，而非法庭級別的舉證。

Bitter組織本身是個模糊的存在。公開記錄中，它最早在2013年被發現，長期針對巴基斯坦、中國等國的軍事和外交目標。如果確實是同一批人，這次轉向中東記者意味著業務范圍擴張，或者——更可能的——工具和方法的租賃化。雇傭黑客市場的成熟，讓國家級能力可以打包出售給任何有預算的客戶。

誰在購買這些服務？報告沒有點名。但受害者的身份提供了線索：埃及政府的批評者、黎巴嫩的獨立記者。這兩個國家的政治格局里，有動機也有資源實施跨境數字監控的行為體，名單并不長。

防御端的滯后

Google和Apple的應對，在事件曝光前基本處于被動。OAuth應用的審核機制沒有攔截"en-account.info"；iMessage的鏈接預覽功能，反而讓釣魚URL看起來更正規。兩家公司在2024年后陸續加強了異常登錄提醒和第三方應用審計，但攻擊者已經換了一批目標。

對個體用戶而言，有效的防御措施出奇地低技術：定期檢查Google賬號的"第三方應用權限"頁面，對任何索要驗證碼的消息保持懷疑，工作邀約通過獨立渠道二次確認。但這些步驟和"正常使用"之間存在永恒的摩擦——完全按安全規范操作，很多日常工作根本無法推進。

Al-A'sar在2024年1月那次攻擊中最終沒有上當，因為他注意到Zoom鏈接的域名異常。這個細節被寫在報告里，幾乎像是對讀者的暗示：在工業化的釣魚流水線面前，個體的警覺仍然是最后一道防線，盡管它本不該是。

SMEX的安全研究員在報告末尾加了一句：「我們追蹤的下一個目標會是誰？」攻擊者沒有收手的跡象，而中東北非的記者們，還在等一個不會到來的"官方警告"。