印度黑客盯上中東記者：3年釣魚鏈曝光，2名埃及人已被盯上

2023年10月到2024年1月，兩名埃及記者先后收到LinkedIn私信。發(fā)信人叫"Haifa Kareem"，頭像精致，履歷漂亮，開口就是工作機(jī)會(huì)。三個(gè)月后，同一批人換了個(gè)馬甲，把釣魚鏈接塞進(jìn)了WhatsApp。

這不是普通詐騙。Access Now、Lookout和SMEX三家機(jī)構(gòu)聯(lián)合追蹤發(fā)現(xiàn)，這是一場(chǎng)持續(xù)至少兩年的"雇傭黑客"行動(dòng)，幕后指向與印度政府有關(guān)聯(lián)的威脅行為體。

目標(biāo)清單讀起來(lái)像中東新聞圈的點(diǎn)名冊(cè)：埃及政府批評(píng)者M(jìn)ostafa Al-A'sar、前議員Ahmed Eltantawy，還有一位要求匿名的黎巴嫩記者。三人的共同點(diǎn)？都曾在本國(guó)因言論吃過(guò)苦頭，其中一人之前就被間諜軟件盯上過(guò)。

釣魚手法老派但有效。Al-A'sar的遭遇堪稱教科書：LinkedIn上建立信任，套取手機(jī)號(hào)和郵箱，三天后收到Zoom會(huì)議鏈接。鏈接用Rebrandly縮短，點(diǎn)進(jìn)去是Google OAuth授權(quán)頁(yè)——不是假登錄框，是真的Google域名，真的權(quán)限申請(qǐng)流程。

OAuth釣魚：讓用戶親手遞鑰匙

傳統(tǒng)釣魚偽造登錄頁(yè)，用戶輸完賬號(hào)密碼，攻擊者后臺(tái)收割。OAuth釣魚更隱蔽：攻擊者注冊(cè)一個(gè)名為"en-account.info"的惡意應(yīng)用，誘導(dǎo)用戶點(diǎn)擊"使用Google登錄"。

用戶看到的界面完全合法。Google彈窗詢問(wèn)：是否允許該應(yīng)用訪問(wèn)您的郵箱、聯(lián)系人、云端硬盤？大多數(shù)人掃一眼權(quán)限列表就點(diǎn)了同意。這一點(diǎn)的后果是，攻擊者拿到長(zhǎng)期訪問(wèn)令牌，不需要知道密碼，不需要破解2FA，直接在后臺(tái)同步你的郵件。

Access Now的技術(shù)分析指出，這種"consent-based phishing"（基于同意的釣魚）專門利用用戶對(duì)大品牌認(rèn)證流程的信任。Google的OAuth 2.0機(jī)制本身沒問(wèn)題，但用戶對(duì)"Google讓我點(diǎn)"的慣性，成了攻擊者的跳板。

Al-A'sar的同事Ahmed Eltantawy在2023年10月遭遇的是另一套劇本：偽造Apple ID登錄頁(yè)，配合2FA驗(yàn)證碼實(shí)時(shí)截取。攻擊者甚至搭建了完整的Apple視覺克隆站，從字體到動(dòng)效一絲不茍。

iMessage成了新戰(zhàn)場(chǎng)

2025年5月，那位匿名黎巴嫩記者收到的消息直接來(lái)自Apple Messages。發(fā)件人顯示"Apple Support"，內(nèi)容稱賬戶異常需驗(yàn)證，附鏈接。同一時(shí)期，WhatsApp也收到類似消息。

SMEX的調(diào)查顯示，這輪campaign對(duì)蘋果生態(tài)的執(zhí)念近乎偏執(zhí)。iMessage、Apple ID、iCloud——全是入口。但技術(shù)痕跡顯示，Telegram和Signal也在目標(biāo)范圍內(nèi)，只是曝光的攻擊實(shí)例較少。

選擇蘋果有其算計(jì)。中東高端用戶群體iPhone滲透率極高，記者、活動(dòng)家、政府官員往往是首批換機(jī)人群。蘋果的品牌溢價(jià)在這里轉(zhuǎn)化成了信任溢價(jià)：收到"Apple"發(fā)來(lái)的消息，警惕閾值天然更低。

攻擊時(shí)間線也經(jīng)過(guò)精密計(jì)算。Al-A'sar的LinkedIn接觸發(fā)生在2024年1月，埃及大選剛結(jié)束，社會(huì)張力處于高點(diǎn)。Eltantawy被攻擊的2023年10月，他正準(zhǔn)備宣布參選意向。黎巴嫩記者的釣魚消息出現(xiàn)在2025年5月，該國(guó)正處于戰(zhàn)后重建與政治重組的敏感窗口。

Bitter APT的老套路與新包裝

三家機(jī)構(gòu)將此次活動(dòng)歸因于Bitter APT——一個(gè)至少2013年起活躍的組織，歷史上多次被指向印度情報(bào)背景。Bitter的傳統(tǒng)手藝是定向釣魚加水坑攻擊，目標(biāo)橫跨巴基斯坦、中國(guó)、沙特阿拉伯的軍政機(jī)構(gòu)。

這次campaign有Bitter的簽名式痕跡：LinkedIn虛假人設(shè)、Rebrandly短鏈接、對(duì)中東地緣政治目標(biāo)的偏好。但也有進(jìn)化——OAuth釣魚在Bitter過(guò)往行動(dòng)中罕見，更常見于東歐網(wǎng)絡(luò)犯罪集團(tuán)。

Lookout的移動(dòng)威脅情報(bào)團(tuán)隊(duì)注意到，攻擊者開始混合"雇傭黑客"的商業(yè)模式與國(guó)家級(jí)的目標(biāo)選擇。被盯上的三人沒有商業(yè)間諜價(jià)值，但有明確的政治監(jiān)控價(jià)值。這種"國(guó)家動(dòng)機(jī)+犯罪手法"的雜交，讓歸因變得復(fù)雜。

Al-A'sar的遭遇有個(gè)細(xì)節(jié)值得玩味。他在Linked上與"Haifa Kareem"周旋期間，對(duì)方曾要求發(fā)送簡(jiǎn)歷。他照做了——PDF格式，包含詳細(xì)職業(yè)經(jīng)歷。技術(shù)分析師推測(cè)，這份簡(jiǎn)歷可能用于構(gòu)建更精準(zhǔn)的后續(xù)攻擊，或評(píng)估其社交圖譜價(jià)值。

換句話說(shuō)，釣魚只是入口。攻擊者真正想要的是持久訪問(wèn)：郵件內(nèi)容揭示信息源，云端文件暴露調(diào)查材料，聯(lián)系人列表勾勒關(guān)系網(wǎng)絡(luò)。對(duì)記者而言，這比單純的設(shè)備入侵更致命。

防御缺口：當(dāng)2FA變成擺設(shè)

OAuth釣魚的陰險(xiǎn)之處在于，它繞過(guò)了傳統(tǒng)安全教育的核心假設(shè)。用戶被反復(fù)告誡：開2FA，別點(diǎn)陌生鏈接，檢查網(wǎng)址拼寫。這三條對(duì)OAuth攻擊幾乎無(wú)效。

2FA保護(hù)的是密碼泄露場(chǎng)景。但OAuth流程中，用戶從未輸入密碼——只是點(diǎn)了"同意"。網(wǎng)址也是真的google.com，只是路徑參數(shù)里藏了惡意應(yīng)用的客戶端ID。安全培訓(xùn)沒教過(guò)普通人如何識(shí)別這個(gè)。

Google在2024年逐步收緊OAuth應(yīng)用審核，新注冊(cè)應(yīng)用需要更嚴(yán)格的驗(yàn)證流程。但攻擊者顯然找到了時(shí)間窗口，或利用歷史遺留的已審核應(yīng)用。

蘋果端的防御更被動(dòng)。iMessage的"報(bào)告垃圾信息"功能對(duì)偽裝成官方的支持消息識(shí)別有限，用戶看到藍(lán)色氣泡（iMessage）而非綠色（SMS），警惕性反而下降。蘋果在iOS 17后加強(qiáng)了釣魚鏈接的預(yù)覽警告，但社交工程的核心——偽造緊急感和權(quán)威感——技術(shù)難以攔截。

Access Now建議高風(fēng)險(xiǎn)用戶啟用Google的高級(jí)保護(hù)計(jì)劃（Advanced Protection Program），該計(jì)劃強(qiáng)制使用硬件安全密鑰，并限制第三方應(yīng)用權(quán)限。但這項(xiàng)服務(wù)需要額外配置，對(duì)非技術(shù)用戶門檻不低。

雇傭黑客市場(chǎng)的暗面

"Hack-for-hire"不是新詞，但市場(chǎng)規(guī)模和專業(yè)化程度在近年急劇膨脹。以色列NSO集團(tuán)的倒臺(tái)曾讓外界以為商業(yè)間諜軟件行業(yè)受挫，事實(shí)是需求只是轉(zhuǎn)移了——從打包產(chǎn)品轉(zhuǎn)向定制服務(wù)。

Bitter這類組織的優(yōu)勢(shì)在于成本結(jié)構(gòu)。相比NSO動(dòng)輒數(shù)百萬(wàn)美元的年度訂閱，雇傭黑客按項(xiàng)目收費(fèi)，單價(jià)可能低至五位數(shù)美元。對(duì)預(yù)算有限但監(jiān)控需求迫切的行為體，這是更具性價(jià)比的選擇。

目標(biāo)選擇也反映市場(chǎng)細(xì)分。傳統(tǒng)APT盯著國(guó)防、能源、金融基礎(chǔ)設(shè)施；雇傭黑客承接"軟目標(biāo)"訂單——記者、NGO人員、反對(duì)派政客。這些目標(biāo)技術(shù)防護(hù)弱，但情報(bào)價(jià)值不低，且攻擊暴露后的外交風(fēng)險(xiǎn)可控。

SMEX的報(bào)告中提到一個(gè)未被充分討論的角度：黎巴嫩記者的遭遇顯示，攻擊者開始利用平臺(tái)間的信任落差。iMessage用戶默認(rèn)認(rèn)為藍(lán)色氣泡更安全，攻擊者就偽造藍(lán)色氣泡來(lái)源。WhatsApp以端到端加密著稱，用戶看到鏈接可能更少猶豫。每個(gè)平臺(tái)的安全敘事，都被轉(zhuǎn)化為攻擊向量。

這場(chǎng)campaign的曝光本身也有戰(zhàn)術(shù)價(jià)值。三家機(jī)構(gòu)選擇此時(shí)發(fā)布報(bào)告，部分原因是2025年5月的黎巴嫩案例提供了最新證據(jù)鏈。但更深層考量可能是威懾——讓攻擊者知道工具集已被分析，迫使更換基礎(chǔ)設(shè)施，抬高其運(yùn)營(yíng)成本。

Al-A'sar在事后接受Access Now訪談時(shí)提到，他最終沒有點(diǎn)擊那個(gè)Zoom鏈接，因?yàn)?Haifa Kareem"的英語(yǔ)有微妙的不自然之處。這個(gè)細(xì)節(jié)沒有被寫進(jìn)技術(shù)分析，但可能是整個(gè)攻擊鏈中最關(guān)鍵的變量。

技術(shù)防御有其邊界。當(dāng)攻擊者擁有國(guó)家級(jí)資源、商業(yè)級(jí)耐心和犯罪級(jí)靈活性，最后一道防線往往是最古老的：人對(duì)異常信號(hào)的直覺。

問(wèn)題是，這種直覺能靠訓(xùn)練復(fù)制嗎？還是只屬于那些已經(jīng)被騙過(guò)、被關(guān)過(guò)、被監(jiān)控過(guò)的人？