2023年10月到2024年1月,两名埃及记者先后收到LinkedIn私信。发信人叫"Haifa Kareem",头像精致,履历漂亮,开口就是工作机会。三个月后,同一批人换了个马甲,把钓鱼链接塞进了WhatsApp。
这不是普通诈骗。Access Now、Lookout和SMEX三家机构联合追踪发现,这是一场持续至少两年的"雇佣黑客"行动,幕后指向与印度政府有关联的威胁行为体。
目标清单读起来像中东新闻圈的点名册:埃及政府批评者Mostafa Al-A'sar、前议员Ahmed Eltantawy,还有一位要求匿名的黎巴嫩记者。三人的共同点?都曾在本国因言论吃过苦头,其中一人之前就被间谍软件盯上过。
钓鱼手法老派但有效。Al-A'sar的遭遇堪称教科书:LinkedIn上建立信任,套取手机号和邮箱,三天后收到Zoom会议链接。链接用Rebrandly缩短,点进去是Google OAuth授权页——不是假登录框,是真的Google域名,真的权限申请流程。
OAuth钓鱼:让用户亲手递钥匙
传统钓鱼伪造登录页,用户输完账号密码,攻击者后台收割。OAuth钓鱼更隐蔽:攻击者注册一个名为"en-account.info"的恶意应用,诱导用户点击"使用Google登录"。
用户看到的界面完全合法。Google弹窗询问:是否允许该应用访问您的邮箱、联系人、云端硬盘?大多数人扫一眼权限列表就点了同意。这一点的后果是,攻击者拿到长期访问令牌,不需要知道密码,不需要破解2FA,直接在后台同步你的邮件。
Access Now的技术分析指出,这种"consent-based phishing"(基于同意的钓鱼)专门利用用户对大品牌认证流程的信任。Google的OAuth 2.0机制本身没问题,但用户对"Google让我点"的惯性,成了攻击者的跳板。
Al-A'sar的同事Ahmed Eltantawy在2023年10月遭遇的是另一套剧本:伪造Apple ID登录页,配合2FA验证码实时截取。攻击者甚至搭建了完整的Apple视觉克隆站,从字体到动效一丝不苟。
iMessage成了新战场
2025年5月,那位匿名黎巴嫩记者收到的消息直接来自Apple Messages。发件人显示"Apple Support",内容称账户异常需验证,附链接。同一时期,WhatsApp也收到类似消息。
SMEX的调查显示,这轮campaign对苹果生态的执念近乎偏执。iMessage、Apple ID、iCloud——全是入口。但技术痕迹显示,Telegram和Signal也在目标范围内,只是曝光的攻击实例较少。
选择苹果有其算计。中东高端用户群体iPhone渗透率极高,记者、活动家、政府官员往往是首批换机人群。苹果的品牌溢价在这里转化成了信任溢价:收到"Apple"发来的消息,警惕阈值天然更低。
攻击时间线也经过精密计算。Al-A'sar的LinkedIn接触发生在2024年1月,埃及大选刚结束,社会张力处于高点。Eltantawy被攻击的2023年10月,他正准备宣布参选意向。黎巴嫩记者的钓鱼消息出现在2025年5月,该国正处于战后重建与政治重组的敏感窗口。
Bitter APT的老套路与新包装
三家机构将此次活动归因于Bitter APT——一个至少2013年起活跃的组织,历史上多次被指向印度情报背景。Bitter的传统手艺是定向钓鱼加水坑攻击,目标横跨巴基斯坦、中国、沙特阿拉伯的军政机构。
这次campaign有Bitter的签名式痕迹:LinkedIn虚假人设、Rebrandly短链接、对中东地缘政治目标的偏好。但也有进化——OAuth钓鱼在Bitter过往行动中罕见,更常见于东欧网络犯罪集团。
Lookout的移动威胁情报团队注意到,攻击者开始混合"雇佣黑客"的商业模式与国家级的目标选择。被盯上的三人没有商业间谍价值,但有明确的政治监控价值。这种"国家动机+犯罪手法"的杂交,让归因变得复杂。
Al-A'sar的遭遇有个细节值得玩味。他在Linked上与"Haifa Kareem"周旋期间,对方曾要求发送简历。他照做了——PDF格式,包含详细职业经历。技术分析师推测,这份简历可能用于构建更精准的后续攻击,或评估其社交图谱价值。
换句话说,钓鱼只是入口。攻击者真正想要的是持久访问:邮件内容揭示信息源,云端文件暴露调查材料,联系人列表勾勒关系网络。对记者而言,这比单纯的设备入侵更致命。
防御缺口:当2FA变成摆设
OAuth钓鱼的阴险之处在于,它绕过了传统安全教育的核心假设。用户被反复告诫:开2FA,别点陌生链接,检查网址拼写。这三条对OAuth攻击几乎无效。
2FA保护的是密码泄露场景。但OAuth流程中,用户从未输入密码——只是点了"同意"。网址也是真的google.com,只是路径参数里藏了恶意应用的客户端ID。安全培训没教过普通人如何识别这个。
Google在2024年逐步收紧OAuth应用审核,新注册应用需要更严格的验证流程。但攻击者显然找到了时间窗口,或利用历史遗留的已审核应用。
苹果端的防御更被动。iMessage的"报告垃圾信息"功能对伪装成官方的支持消息识别有限,用户看到蓝色气泡(iMessage)而非绿色(SMS),警惕性反而下降。苹果在iOS 17后加强了钓鱼链接的预览警告,但社交工程的核心——伪造紧急感和权威感——技术难以拦截。
Access Now建议高风险用户启用Google的高级保护计划(Advanced Protection Program),该计划强制使用硬件安全密钥,并限制第三方应用权限。但这项服务需要额外配置,对非技术用户门槛不低。
雇佣黑客市场的暗面
"Hack-for-hire"不是新词,但市场规模和专业化程度在近年急剧膨胀。以色列NSO集团的倒台曾让外界以为商业间谍软件行业受挫,事实是需求只是转移了——从打包产品转向定制服务。
Bitter这类组织的优势在于成本结构。相比NSO动辄数百万美元的年度订阅,雇佣黑客按项目收费,单价可能低至五位数美元。对预算有限但监控需求迫切的行为体,这是更具性价比的选择。
目标选择也反映市场细分。传统APT盯着国防、能源、金融基础设施;雇佣黑客承接"软目标"订单——记者、NGO人员、反对派政客。这些目标技术防护弱,但情报价值不低,且攻击暴露后的外交风险可控。
SMEX的报告中提到一个未被充分讨论的角度:黎巴嫩记者的遭遇显示,攻击者开始利用平台间的信任落差。iMessage用户默认认为蓝色气泡更安全,攻击者就伪造蓝色气泡来源。WhatsApp以端到端加密著称,用户看到链接可能更少犹豫。每个平台的安全叙事,都被转化为攻击向量。
这场campaign的曝光本身也有战术价值。三家机构选择此时发布报告,部分原因是2025年5月的黎巴嫩案例提供了最新证据链。但更深层考量可能是威慑——让攻击者知道工具集已被分析,迫使更换基础设施,抬高其运营成本。
Al-A'sar在事后接受Access Now访谈时提到,他最终没有点击那个Zoom链接,因为"Haifa Kareem"的英语有微妙的不自然之处。这个细节没有被写进技术分析,但可能是整个攻击链中最关键的变量。
技术防御有其边界。当攻击者拥有国家级资源、商业级耐心和犯罪级灵活性,最后一道防线往往是最古老的:人对异常信号的直觉。
问题是,这种直觉能靠训练复制吗?还是只属于那些已经被骗过、被关过、被监控过的人?
热门跟贴