印度黑客盯上中东记者：3年钓鱼链曝光，2名埃及人已被盯上

2023年10月到2024年1月，两名埃及记者先后收到LinkedIn私信。发信人叫"Haifa Kareem"，头像精致，履历漂亮，开口就是工作机会。三个月后，同一批人换了个马甲，把钓鱼链接塞进了WhatsApp。

这不是普通诈骗。Access Now、Lookout和SMEX三家机构联合追踪发现，这是一场持续至少两年的"雇佣黑客"行动，幕后指向与印度政府有关联的威胁行为体。

目标清单读起来像中东新闻圈的点名册：埃及政府批评者Mostafa Al-A'sar、前议员Ahmed Eltantawy，还有一位要求匿名的黎巴嫩记者。三人的共同点？都曾在本国因言论吃过苦头，其中一人之前就被间谍软件盯上过。

钓鱼手法老派但有效。Al-A'sar的遭遇堪称教科书：LinkedIn上建立信任，套取手机号和邮箱，三天后收到Zoom会议链接。链接用Rebrandly缩短，点进去是Google OAuth授权页——不是假登录框，是真的Google域名，真的权限申请流程。

OAuth钓鱼：让用户亲手递钥匙

传统钓鱼伪造登录页，用户输完账号密码，攻击者后台收割。OAuth钓鱼更隐蔽：攻击者注册一个名为"en-account.info"的恶意应用，诱导用户点击"使用Google登录"。

用户看到的界面完全合法。Google弹窗询问：是否允许该应用访问您的邮箱、联系人、云端硬盘？大多数人扫一眼权限列表就点了同意。这一点的后果是，攻击者拿到长期访问令牌，不需要知道密码，不需要破解2FA，直接在后台同步你的邮件。

Access Now的技术分析指出，这种"consent-based phishing"（基于同意的钓鱼）专门利用用户对大品牌认证流程的信任。Google的OAuth 2.0机制本身没问题，但用户对"Google让我点"的惯性，成了攻击者的跳板。

Al-A'sar的同事Ahmed Eltantawy在2023年10月遭遇的是另一套剧本：伪造Apple ID登录页，配合2FA验证码实时截取。攻击者甚至搭建了完整的Apple视觉克隆站，从字体到动效一丝不苟。

iMessage成了新战场

2025年5月，那位匿名黎巴嫩记者收到的消息直接来自Apple Messages。发件人显示"Apple Support"，内容称账户异常需验证，附链接。同一时期，WhatsApp也收到类似消息。

SMEX的调查显示，这轮campaign对苹果生态的执念近乎偏执。iMessage、Apple ID、iCloud——全是入口。但技术痕迹显示，Telegram和Signal也在目标范围内，只是曝光的攻击实例较少。

选择苹果有其算计。中东高端用户群体iPhone渗透率极高，记者、活动家、政府官员往往是首批换机人群。苹果的品牌溢价在这里转化成了信任溢价：收到"Apple"发来的消息，警惕阈值天然更低。

攻击时间线也经过精密计算。Al-A'sar的LinkedIn接触发生在2024年1月，埃及大选刚结束，社会张力处于高点。Eltantawy被攻击的2023年10月，他正准备宣布参选意向。黎巴嫩记者的钓鱼消息出现在2025年5月，该国正处于战后重建与政治重组的敏感窗口。

Bitter APT的老套路与新包装

三家机构将此次活动归因于Bitter APT——一个至少2013年起活跃的组织，历史上多次被指向印度情报背景。Bitter的传统手艺是定向钓鱼加水坑攻击，目标横跨巴基斯坦、中国、沙特阿拉伯的军政机构。

这次campaign有Bitter的签名式痕迹：LinkedIn虚假人设、Rebrandly短链接、对中东地缘政治目标的偏好。但也有进化——OAuth钓鱼在Bitter过往行动中罕见，更常见于东欧网络犯罪集团。

Lookout的移动威胁情报团队注意到，攻击者开始混合"雇佣黑客"的商业模式与国家级的目标选择。被盯上的三人没有商业间谍价值，但有明确的政治监控价值。这种"国家动机+犯罪手法"的杂交，让归因变得复杂。

Al-A'sar的遭遇有个细节值得玩味。他在Linked上与"Haifa Kareem"周旋期间，对方曾要求发送简历。他照做了——PDF格式，包含详细职业经历。技术分析师推测，这份简历可能用于构建更精准的后续攻击，或评估其社交图谱价值。

换句话说，钓鱼只是入口。攻击者真正想要的是持久访问：邮件内容揭示信息源，云端文件暴露调查材料，联系人列表勾勒关系网络。对记者而言，这比单纯的设备入侵更致命。

防御缺口：当2FA变成摆设

OAuth钓鱼的阴险之处在于，它绕过了传统安全教育的核心假设。用户被反复告诫：开2FA，别点陌生链接，检查网址拼写。这三条对OAuth攻击几乎无效。

2FA保护的是密码泄露场景。但OAuth流程中，用户从未输入密码——只是点了"同意"。网址也是真的google.com，只是路径参数里藏了恶意应用的客户端ID。安全培训没教过普通人如何识别这个。

Google在2024年逐步收紧OAuth应用审核，新注册应用需要更严格的验证流程。但攻击者显然找到了时间窗口，或利用历史遗留的已审核应用。

苹果端的防御更被动。iMessage的"报告垃圾信息"功能对伪装成官方的支持消息识别有限，用户看到蓝色气泡（iMessage）而非绿色（SMS），警惕性反而下降。苹果在iOS 17后加强了钓鱼链接的预览警告，但社交工程的核心——伪造紧急感和权威感——技术难以拦截。

Access Now建议高风险用户启用Google的高级保护计划（Advanced Protection Program），该计划强制使用硬件安全密钥，并限制第三方应用权限。但这项服务需要额外配置，对非技术用户门槛不低。

雇佣黑客市场的暗面

"Hack-for-hire"不是新词，但市场规模和专业化程度在近年急剧膨胀。以色列NSO集团的倒台曾让外界以为商业间谍软件行业受挫，事实是需求只是转移了——从打包产品转向定制服务。

Bitter这类组织的优势在于成本结构。相比NSO动辄数百万美元的年度订阅，雇佣黑客按项目收费，单价可能低至五位数美元。对预算有限但监控需求迫切的行为体，这是更具性价比的选择。

目标选择也反映市场细分。传统APT盯着国防、能源、金融基础设施；雇佣黑客承接"软目标"订单——记者、NGO人员、反对派政客。这些目标技术防护弱，但情报价值不低，且攻击暴露后的外交风险可控。

SMEX的报告中提到一个未被充分讨论的角度：黎巴嫩记者的遭遇显示，攻击者开始利用平台间的信任落差。iMessage用户默认认为蓝色气泡更安全，攻击者就伪造蓝色气泡来源。WhatsApp以端到端加密著称，用户看到链接可能更少犹豫。每个平台的安全叙事，都被转化为攻击向量。

这场campaign的曝光本身也有战术价值。三家机构选择此时发布报告，部分原因是2025年5月的黎巴嫩案例提供了最新证据链。但更深层考量可能是威慑——让攻击者知道工具集已被分析，迫使更换基础设施，抬高其运营成本。

Al-A'sar在事后接受Access Now访谈时提到，他最终没有点击那个Zoom链接，因为"Haifa Kareem"的英语有微妙的不自然之处。这个细节没有被写进技术分析，但可能是整个攻击链中最关键的变量。

技术防御有其边界。当攻击者拥有国家级资源、商业级耐心和犯罪级灵活性，最后一道防线往往是最古老的：人对异常信号的直觉。

问题是，这种直觉能靠训练复制吗？还是只属于那些已经被骗过、被关过、被监控过的人？