I ricercatori di sicurezza affermano di aver identificato un gruppo di hack su commissione che prende di mira giornalisti, attivisti e funzionari governativi in Medio Oriente e Nord Africa. Gli hacker hanno utilizzato attacchi di phishing per accedere ai backup iCloud e agli account di messaggistica degli obiettivi su Sign e hanno distribuito adware Android in grado di prendere il controllo dei dispositivi degli obiettivi.
Questa campagna di hacking evidenzia una tendenza crescente da parte delle agenzie governative advert esternalizzare le proprie operazioni di hacking a società personal di hacking su commissione. Alcuni governi si affidano già a società commerciali che sviluppano adware ed exploit utilizzati dalla polizia e dalle agenzie di intelligence per accedere ai dati sui telefoni delle persone.
Lo hanno documentato i ricercatori dell’organizzazione per i diritti digitali Entry Now tre casi di attacchi dal 2023 al 2025 contro due giornalisti egiziani e un giornalista libanese, il cui caso period anch’esso documentato dall’organizzazione per i diritti digitali SMEX.
Lookout, azienda di sicurezza informatica cellular hanno anche indagato su questi attacchi. Le tre organizzazioni hanno collaborato tra loro e mercoledì hanno pubblicato rapporti separati.
Secondo Lookout, gli attacchi vanno oltre i membri della società civile egiziana e libanese e includono obiettivi nei governi del Bahrein e dell’Egitto, nonché obiettivi negli Emirati Arabi Uniti, Arabia Saudita, Regno Unito e potenzialmente negli Stati Uniti o ex alunni delle università americane.
Lookout ha concluso che gli hacker dietro questa campagna di spionaggio lavorano per un fornitore di hack su commissione con collegamenti a BITTER APT, un gruppo di hacker che sicurezza informatica aziende il sospettato ha legami con il governo indiano.
Justin Albrecht, ricercatore principale presso Lookout, ha dichiarato a TechCrunch che la società dietro la campagna potrebbe essere una propaggine della startup indiana Appin, e ha notato una di queste società denominata RebSec come possibile sospettato. Nel 2022 e nel 2023, Reuters ha pubblicato ampio indagini in Appin e altre società simili con sede in India, che hanno rivelato come queste società vengano presumibilmente assunte per hackerare dirigenti aziendali, politici, funzionari militari e altri.
Evento Techcrunch
San Francisco, California
|
13-15 ottobre 2026
Sembra che Appin abbia poi chiuso i battenti, ma Albrecht ha osservato che la scoperta di questa nuova campagna di hacking dimostra che l’attività “non è scomparsa e si è semplicemente spostata verso aziende più piccole”.
Questi gruppi e i loro clienti ottengono “una negabilità plausibile poiché gestiscono tutte le operazioni e le infrastrutture”. E per i loro clienti, questi gruppi di hacker su commissione sono probabilmente più economici dell’acquisto di adware commerciale, ha affermato Albrecht.
Non è stato possibile raggiungere Rebsec per un commento, poiché la società ha cancellato i suoi account sui social media e il suo sito net.
Contattaci
Hai maggiori informazioni sulle soluzioni Rebsec? O altre società di hacking? Da un dispositivo non lavorativo, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Sign al numero +1 917 257 1382, oppure tramite Telegram e Keybase @lorenzofb, o electronic mail.
Mohammed Al-Maskati, investigatore e direttore della Helpline per la sicurezza digitale di Entry Now che ha lavorato su questi casi, ha affermato che “queste operazioni sono diventate più economiche ed è possibile sottrarsi alle responsabilità, soprattutto perché non sapremo chi è il cliente finale e l’infrastruttura non rivelerà l’entità che c’è dietro”.
Anche se gruppi come BITTER potrebbero non disporre degli strumenti di hacking e spionaggio più avanzati, le loro tattiche possono comunque essere molto efficaci.
Negli attacchi di questa campagna, gli hacker hanno utilizzato various tecniche. Nel prendere di mira gli utenti iPhone, gli hacker hanno cercato di indurre i goal a rinunciare alle proprie credenziali ID Apple per poi hackerare i loro backup iCloud, che di fatto avrebbero dato loro l’accesso all’intero contenuto degli iPhone dei goal.
Secondo Entry Now, si tratta di “un’alternativa potenzialmente più economica all’uso di adware iOS più sofisticati e costosi”.
Nel prendere di mira gli utenti Android, gli hacker hanno utilizzato uno adware chiamato ProSpy, mascherato da popolari app di messaggistica e comunicazione come Sign, WhatsApp e Zoom, nonché ToTok e Botim, due app popolari in Medio Oriente.
In alcuni casi, gli hacker hanno cercato di indurre le vittime a registrarsi e advert aggiungere un nuovo dispositivo, controllato dagli hacker, al loro account Sign, una tecnica che è stata popolare tra vari gruppi di hacker, comprese le spie russe.
Un portavoce dell’ambasciata indiana a Washington, DC non ha risposto immediatamente advert una richiesta di commento.
