印度黑客盯上中東記者：3年釣魚鏈曝光，2名埃及人已被盯上

2023年10月到2024年1月，兩名埃及記者先后收到LinkedIn私信。發信人叫"Haifa Kareem"，頭像精致，履歷漂亮，開口就是工作機會。三個月后，同一批人換了個馬甲，把釣魚鏈接塞進了WhatsApp。

這不是普通詐騙。Access Now、Lookout和SMEX三家機構聯合追蹤發現，這是一場持續至少兩年的"雇傭黑客"行動，幕后指向與印度政府有關聯的威脅行為體。

目標清單讀起來像中東新聞圈的點名冊：埃及政府批評者Mostafa Al-A'sar、前議員Ahmed Eltantawy，還有一位要求匿名的黎巴嫩記者。三人的共同點？都曾在本國因言論吃過苦頭，其中一人之前就被間諜軟件盯上過。

釣魚手法老派但有效。Al-A'sar的遭遇堪稱教科書：LinkedIn上建立信任，套取手機號和郵箱，三天后收到Zoom會議鏈接。鏈接用Rebrandly縮短，點進去是Google OAuth授權頁——不是假登錄框，是真的Google域名，真的權限申請流程。

OAuth釣魚：讓用戶親手遞鑰匙

傳統釣魚偽造登錄頁，用戶輸完賬號密碼，攻擊者后臺收割。OAuth釣魚更隱蔽：攻擊者注冊一個名為"en-account.info"的惡意應用，誘導用戶點擊"使用Google登錄"。

用戶看到的界面完全合法。Google彈窗詢問：是否允許該應用訪問您的郵箱、聯系人、云端硬盤？大多數人掃一眼權限列表就點了同意。這一點的后果是，攻擊者拿到長期訪問令牌，不需要知道密碼，不需要破解2FA，直接在后臺同步你的郵件。

Access Now的技術分析指出，這種"consent-based phishing"（基于同意的釣魚）專門利用用戶對大品牌認證流程的信任。Google的OAuth 2.0機制本身沒問題，但用戶對"Google讓我點"的慣性，成了攻擊者的跳板。

Al-A'sar的同事Ahmed Eltantawy在2023年10月遭遇的是另一套劇本：偽造Apple ID登錄頁，配合2FA驗證碼實時截取。攻擊者甚至搭建了完整的Apple視覺克隆站，從字體到動效一絲不茍。

iMessage成了新戰場

2025年5月，那位匿名黎巴嫩記者收到的消息直接來自Apple Messages。發件人顯示"Apple Support"，內容稱賬戶異常需驗證，附鏈接。同一時期，WhatsApp也收到類似消息。

SMEX的調查顯示，這輪campaign對蘋果生態的執念近乎偏執。iMessage、Apple ID、iCloud——全是入口。但技術痕跡顯示，Telegram和Signal也在目標范圍內，只是曝光的攻擊實例較少。

選擇蘋果有其算計。中東高端用戶群體iPhone滲透率極高，記者、活動家、政府官員往往是首批換機人群。蘋果的品牌溢價在這里轉化成了信任溢價：收到"Apple"發來的消息，警惕閾值天然更低。

攻擊時間線也經過精密計算。Al-A'sar的LinkedIn接觸發生在2024年1月，埃及大選剛結束，社會張力處于高點。Eltantawy被攻擊的2023年10月，他正準備宣布參選意向。黎巴嫩記者的釣魚消息出現在2025年5月，該國正處于戰后重建與政治重組的敏感窗口。

Bitter APT的老套路與新包裝

三家機構將此次活動歸因于Bitter APT——一個至少2013年起活躍的組織，歷史上多次被指向印度情報背景。Bitter的傳統手藝是定向釣魚加水坑攻擊，目標橫跨巴基斯坦、中國、沙特阿拉伯的軍政機構。

這次campaign有Bitter的簽名式痕跡：LinkedIn虛假人設、Rebrandly短鏈接、對中東地緣政治目標的偏好。但也有進化——OAuth釣魚在Bitter過往行動中罕見，更常見于東歐網絡犯罪集團。

Lookout的移動威脅情報團隊注意到，攻擊者開始混合"雇傭黑客"的商業模式與國家級的目標選擇。被盯上的三人沒有商業間諜價值，但有明確的政治監控價值。這種"國家動機+犯罪手法"的雜交，讓歸因變得復雜。

Al-A'sar的遭遇有個細節值得玩味。他在Linked上與"Haifa Kareem"周旋期間，對方曾要求發送簡歷。他照做了——PDF格式，包含詳細職業經歷。技術分析師推測，這份簡歷可能用于構建更精準的后續攻擊，或評估其社交圖譜價值。

換句話說，釣魚只是入口。攻擊者真正想要的是持久訪問：郵件內容揭示信息源，云端文件暴露調查材料，聯系人列表勾勒關系網絡。對記者而言，這比單純的設備入侵更致命。

防御缺口：當2FA變成擺設

OAuth釣魚的陰險之處在于，它繞過了傳統安全教育的核心假設。用戶被反復告誡：開2FA，別點陌生鏈接，檢查網址拼寫。這三條對OAuth攻擊幾乎無效。

2FA保護的是密碼泄露場景。但OAuth流程中，用戶從未輸入密碼——只是點了"同意"。網址也是真的google.com，只是路徑參數里藏了惡意應用的客戶端ID。安全培訓沒教過普通人如何識別這個。

Google在2024年逐步收緊OAuth應用審核，新注冊應用需要更嚴格的驗證流程。但攻擊者顯然找到了時間窗口，或利用歷史遺留的已審核應用。

蘋果端的防御更被動。iMessage的"報告垃圾信息"功能對偽裝成官方的支持消息識別有限，用戶看到藍色氣泡（iMessage）而非綠色（SMS），警惕性反而下降。蘋果在iOS 17后加強了釣魚鏈接的預覽警告，但社交工程的核心——偽造緊急感和權威感——技術難以攔截。

Access Now建議高風險用戶啟用Google的高級保護計劃（Advanced Protection Program），該計劃強制使用硬件安全密鑰，并限制第三方應用權限。但這項服務需要額外配置，對非技術用戶門檻不低。

雇傭黑客市場的暗面

"Hack-for-hire"不是新詞，但市場規模和專業化程度在近年急劇膨脹。以色列NSO集團的倒臺曾讓外界以為商業間諜軟件行業受挫，事實是需求只是轉移了——從打包產品轉向定制服務。

Bitter這類組織的優勢在于成本結構。相比NSO動輒數百萬美元的年度訂閱，雇傭黑客按項目收費，單價可能低至五位數美元。對預算有限但監控需求迫切的行為體，這是更具性價比的選擇。

目標選擇也反映市場細分。傳統APT盯著國防、能源、金融基礎設施；雇傭黑客承接"軟目標"訂單——記者、NGO人員、反對派政客。這些目標技術防護弱，但情報價值不低，且攻擊暴露后的外交風險可控。

SMEX的報告中提到一個未被充分討論的角度：黎巴嫩記者的遭遇顯示，攻擊者開始利用平臺間的信任落差。iMessage用戶默認認為藍色氣泡更安全，攻擊者就偽造藍色氣泡來源。WhatsApp以端到端加密著稱，用戶看到鏈接可能更少猶豫。每個平臺的安全敘事，都被轉化為攻擊向量。

這場campaign的曝光本身也有戰術價值。三家機構選擇此時發布報告，部分原因是2025年5月的黎巴嫩案例提供了最新證據鏈。但更深層考量可能是威懾——讓攻擊者知道工具集已被分析，迫使更換基礎設施，抬高其運營成本。

Al-A'sar在事后接受Access Now訪談時提到，他最終沒有點擊那個Zoom鏈接，因為"Haifa Kareem"的英語有微妙的不自然之處。這個細節沒有被寫進技術分析，但可能是整個攻擊鏈中最關鍵的變量。

技術防御有其邊界。當攻擊者擁有國家級資源、商業級耐心和犯罪級靈活性，最后一道防線往往是最古老的：人對異常信號的直覺。

問題是，這種直覺能靠訓練復制嗎？還是只屬于那些已經被騙過、被關過、被監控過的人？