印度黑客盯上中东记者：2年钓了3国7人，手法像流水线

2023年10月到2025年5月，埃及记者Mostafa Al-A'sar的邮箱里先后出现了两封"工作邀约"。一封来自LinkedIn上的"Haifa Kareem"，另一封伪装成苹果客服。两次钓鱼，同一个幕后团队——Access Now、Lookout和SMEX三家机构追踪发现，这是一场横跨中东北非的"黑客雇佣"行动，疑似与印度政府有关联。

钓鱼邮件的工业化生产

攻击者的工具箱里没什么新玩意儿，但组合得足够精巧。针对Al-A'sar的第一波攻击发生在2023年10月，假苹果登录页骗他交出账号密码和二次验证（2FA）码。三个月后，同一批人换了个剧本：LinkedIn上的虚假人脉→Rebrandly短链接→Google OAuth授权页面。

后者更隐蔽。用户如果已登录Google，看到的不是密码框，而是一个"第三方应用请求权限"的界面。应用名叫"en-account.info"，披着合法Google资产的外衣。Access Now的分析指出："攻击者利用的是用户熟悉的登录流程，而不是伪造的界面。"

受害者不止Al-A'sar一人。埃及另一位记者Ahmed Eltantawy在2024年1月收到类似攻击，两人都有个共同点：曾因批评政府入狱，其中一人此前就中过商业间谍软件的招。2025年5月，一名匿名的黎巴嫩记者也收到iMessage和WhatsApp上的"苹果支持"消息，链接指向同样的凭证收割页面。SMEX的记录显示，Telegram和Signal也在目标清单上。

时间线里的组织痕迹

把攻击串成时间线，能看到明显的运营节奏。2023年Q4到2024年Q1密集针对埃及目标，间隔不超过三个月；2025年Q2转向黎巴嫩，平台从邮件扩展到即时通讯。攻击者没有利用零日漏洞，而是堆叠社会工程学——假身份、假 urgency、假官方渠道。

这种"低技术、高运营"的模式，和典型的国家级APT（高级持续性威胁）不太一样。Lookout的研究人员提到，基础设施和TTP（战术、技术与程序）与一个叫Bitter的组织存在重叠。Bitter是一个长期活跃的威胁组织，过去十年多次被关联到针对南亚和中国目标的网络间谍活动。

但这一次的目标地理和攻击动机更值得玩味。中东北非的记者、活动家、政府官员——不是传统意义上的情报价值目标，更像是"按需定制"的监控服务。Access Now在报告中用了"hack-for-hire"（雇佣黑客）这个词，暗示攻击者可能不是为自己干活。

OAuth钓鱼的隐蔽升级

传统的钓鱼页面容易被浏览器标记或用户识破。OAuth授权流程不一样——域名是合法的google.com，SSL证书没问题，界面和用户日常见过的第三方登录一模一样。攻击者注册一个恶意应用，诱导用户点击"同意"，就能拿到Gmail、云端硬盘、日历的访问令牌。

更麻烦的是，即使用户事后改了密码，令牌可能仍然有效，直到手动撤销应用权限。大多数人根本不知道去哪里查"已授权第三方应用"这个 buried menu。

Al-A'sar收到的Rebrandly短链接，是这种攻击的标准配件。短链服务掩盖真实目的地，同时提供点击统计，让攻击者能追踪哪些目标"上了钩"。LinkedIn上的"Haifa Kareem"账号，则解决了钓鱼的第一道难题：如何让人点开链接。工作机会比"您的账号异常"更有说服力，尤其是对自由撰稿人。

记者群体的结构性脆弱

三家机构的报告里有个细节容易被忽略：所有已确认的受害者，都是"已知的政府批评者"。这不是随机撒网，而是精准点名。埃及和黎巴嫩的新闻环境，让这类人群本身就处于多重监控之下——数字攻击只是物理威胁的延伸。

SMEX的数字安全热线记录显示，中东北非地区的记者求助量在2023-2024年上升了40%以上，钓鱼和账号接管是最常见的两类事件。但多数受害者不会公开披露，Al-A'sar和Eltantawy愿意配合调查是例外。更多人选择沉默，因为承认被黑可能暴露消息来源，或被视为"操作安全意识不足"的职业污点。

苹果的生态系统在这次攻击中成为主要入口，有点反直觉。iMessage和Apple ID通常被认为比开放安卓生态更安全，但"安全"本身成了社会工程的杠杆——用户更信任"苹果支持"的消息，更少怀疑iMessage上的链接。攻击者显然算准了这一点。

溯源的灰色地带

报告将攻击者与印度政府"疑似关联"，但没有给出直接证据。这种措辞在威胁情报领域很常见：基础设施重叠、历史行为模式、地缘政治动机，三者叠加形成"高置信度评估"，而非法庭级别的举证。

Bitter组织本身是个模糊的存在。公开记录中，它最早在2013年被发现，长期针对巴基斯坦、中国等国的军事和外交目标。如果确实是同一批人，这次转向中东记者意味着业务范围扩张，或者——更可能的——工具和方法的租赁化。雇佣黑客市场的成熟，让国家级能力可以打包出售给任何有预算的客户。

谁在购买这些服务？报告没有点名。但受害者的身份提供了线索：埃及政府的批评者、黎巴嫩的独立记者。这两个国家的政治格局里，有动机也有资源实施跨境数字监控的行为体，名单并不长。

防御端的滞后

Google和Apple的应对，在事件曝光前基本处于被动。OAuth应用的审核机制没有拦截"en-account.info"；iMessage的链接预览功能，反而让钓鱼URL看起来更正规。两家公司在2024年后陆续加强了异常登录提醒和第三方应用审计，但攻击者已经换了一批目标。

对个体用户而言，有效的防御措施出奇地低技术：定期检查Google账号的"第三方应用权限"页面，对任何索要验证码的消息保持怀疑，工作邀约通过独立渠道二次确认。但这些步骤和"正常使用"之间存在永恒的摩擦——完全按安全规范操作，很多日常工作根本无法推进。

Al-A'sar在2024年1月那次攻击中最终没有上当，因为他注意到Zoom链接的域名异常。这个细节被写在报告里，几乎像是对读者的暗示：在工业化的钓鱼流水线面前，个体的警觉仍然是最后一道防线，尽管它本不该是。

SMEX的安全研究员在报告末尾加了一句：「我们追踪的下一个目标会是谁？」攻击者没有收手的迹象，而中东北非的记者们，还在等一个不会到来的"官方警告"。