09.04.2026
1 хв
243
У регіоні Близького Сходу та Північної Африки зафіксовано масштабну цільову кібератаку, яку пов’язують із кластером Bitter і моделлю “хакери на замовлення”. Під удар потрапили журналісти, активісти та держслужбовці, а атаки будуються на складній соціальній інженерії та фішингу з елементами шпигунського ПЗ.
У регіоні Близького Сходу та Північної Африки зафіксували масштабну кампанію кібератак, яка, ймовірно, пов’язана з так званою моделлю «хакерства за наймом». За даними Access Now, Lookout і SMEX, за операцією може стояти актор із можливими зв’язками з урядом Індії. Під удар потрапили журналісти, активісти та представники влади.
Серед конкретних цілей були відомі єгипетські журналісти та критики влади Мостафа Аль-Асар і Ахмед Елтантаві. Їх намагалися зламати через серію фішингових атак у жовтні 2023 року та січні 2024 року. Схема була класична, але добре підготовлена: жертв перенаправляли на підроблені сторінки входу в Apple і Google, де вони вводили свої логіни, паролі та навіть коди двофакторної автентифікації.
«Атаки здійснювалися з 2023 по 2024 рік, і обидві цілі є відомими критиками єгипетського уряду, які раніше стикалися з політичним ув’язненням; одна з них раніше була атакована шпигунським програмним забезпеченням», – повідомили в службі цифрової безпеки Access Now.
Окремо дослідники згадують випадок із ліванським журналістом, який побажав залишитися анонімним. У травні 2025 року він почав отримувати фішингові повідомлення через iMessage та WhatsApp. Усередині були шкідливі посилання, які маскувалися під перевірку акаунта Apple і змушували користувача вводити свої дані.
«Фішингова кампанія включала постійні атаки через iMessage та WhatsApp, видаючи себе за службу підтримки Apple», – зазначили в SMEX. «Хоча основний фокус був на сервісах Apple, ми також бачимо спроби атак через Telegram і Signal».
В одному з випадків атака почалася з LinkedIn. До Мостафи Аль-Асара звернувся фейковий рекрутер під ім’ям «Хайфа Карім» і запропонував роботу. Після того як журналіст поділився контактами, йому надійшов лист із запрошенням на Zoom-дзвінок. Посилання було скорочене через Rebrandly і вело на фішингову сторінку.
Цей сценарій був складнішим за звичайний фішинг. Замість підробленої сторінки входу використовувався механізм OAuth 2.0 від Google. Жертві пропонували або ввести свої облікові дані, якщо вона не була авторизована, або надати доступ сторонньому застосунку. Таким чином зловмисники отримували контроль над акаунтом через легітимний механізм доступу.
«На відміну від попередніх атак із підробленими сторінками, тут використовується OAuth-згода, що дозволяє зловмисникам скористатися офіційною інфраструктурою Google», – пояснюють в Access Now. «Користувач фактично сам надає доступ до свого акаунта, не підозрюючи цього».
Для атак використовувалися домени, що імітують популярні сервіси. Серед них:
signin-apple.com-en-uk[.]co
id-apple.com-en[.]io
facetime.com-en[.]io
secure-signal.com-en[.]io
telegram.com-en[.]io
verify-apple.com-ae[.]net
join-facetime.com-ae[.]net
android.com-ae[.]net
encryption-plugin-signal.com-ae[.]net
Цікаво, що частина доменів із зоною com-ae[.]net вже фігурувала в іншій кампанії. У жовтні 2025 року компанія ESET описувала атаки з використанням фейкових сайтів під виглядом Signal, ToTok і Botim, які розповсюджували Android-шпигунське ПЗ ProSpy та ToSpy в ОАЕ.
Усе це вказує на те, що фішинг тут лише перший етап. Далі атаки можуть переходити у повноцінне стеження за жертвами, включно з доступом до особистих даних і комунікацій.
