僱用駭客組織被發現鎖定 Android 裝置與 iCloud 備份進行攻擊

安全研究人員表示，他們發現了一個僱傭駭客組織，其目標鎖定中東和北非地區的記者、活動人士及政府官員。駭客利用網路釣魚攻擊來存取目標對象的 iCloud 備份以及 Signal 通訊帳戶，並部署了能夠接管目標裝置的 Android 間諜軟體。

這次駭客行動凸顯了一個日益增長的趨勢：政府機構將其駭客行動外包給私營的僱傭駭客公司。一些政府已經依賴開發間諜軟體和漏洞利用工具的商業公司，供警察和情報機構用來存取民眾手機中的數據。

數位權利組織 Access Now 的研究人員記錄了 2023 年至 2025 年間發生的三起攻擊案例，受害者包括兩名埃及記者，以及一名黎巴嫩記者（其案例也由數位權利組織 SMEX 記錄）。

行動網路安全公司 Lookout 也對這些攻擊進行了調查。這三個組織相互協作，並於週三發布了各自的報告。

根據 Lookout 的說法，攻擊對象不僅限於埃及和黎巴嫩的公民社會成員，還包括巴林和埃及政府的目標，以及阿拉伯聯合大公國、沙烏地阿拉伯、英國，甚至可能包括美國或美國大學校友。

Lookout 得出結論，這次駭客行動背後的操縱者是一家僱傭駭客供應商，研究人員將其代號定為 BITTER，調查此案的網路安全公司懷疑該組織與印度政府有關聯。

Lookout 首席研究員 Justin Albrecht 告訴 TechCrunch，BITTER 背後的公司可能名為 RebSec Solutions，且可能是印度僱傭駭客新創公司 Appin 的分支。在 2022 年和 2023 年，路透社（Reuters）對 Appin 及其他類似的印度公司進行了廣泛調查，揭露了這些公司如何被僱用來駭入公司高層、政治家、軍事官員等人。

僅限本週：Disrupt 2026 最高可節省 482 美元

優惠於 4 月 10 日晚上 11:59（太平洋時間）截止。您的下一輪融資、您的下一位員工、您的下一個突破機會。盡在 TechCrunch Disrupt 2026，屆時將有超過 10,000 名創辦人、投資者和科技領袖齊聚一堂，參加為期三天、超過 250 場的實戰會議、強大的引薦機會以及定義市場的創新。立即註冊以確保獲得這些優惠。

僅限本週：Disrupt 2026 最高可節省 482 美元

優惠於 4 月 10 日晚上 11:59（太平洋時間）截止。您的下一輪融資、您的下一位員工、您的下一個突破機會。盡在 TechCrunch Disrupt 2026，屆時將有超過 10,000 名創辦人、投資者和科技領袖齊聚一堂，參加為期三天、超過 250 場的實戰會議、強大的引薦機會以及定義市場的創新。立即註冊以確保獲得這些優惠。

Appin 顯然在隨後關閉了，但 Albrecht 指出，這次新駭客行動的發現表明，相關活動「並未消失，他們只是轉移到了規模較小的公司」。

這些組織及其客戶獲得了「推諉責任的空間，因為他們負責所有的運作和基礎設施」。Albrecht 表示，對於客戶而言，這些僱傭駭客組織可能比購買商業間諜軟體更便宜。

由於 RebSec 已刪除其社交媒體帳戶和網站，目前無法聯繫該公司置評。

聯繫我們

參與這些案例調查的 Access Now 數位安全求助熱線調查員 Mohammed Al-Maskati 表示：「這些行動變得更加廉價，且有可能逃避責任，特別是因為我們無法得知最終客戶是誰，而基礎設施也不會揭露背後的實體。」

雖然像 BITTER 這樣的組織可能沒有最先進的駭客和間諜工具，但他們的策略仍然非常有效。

在這次行動的攻擊中，駭客使用了幾種不同的技術。在針對 iPhone 用戶時，駭客試圖誘騙目標交出其 Apple ID 憑據，以便駭入其 iCloud 備份，這實際上能讓他們存取目標 iPhone 的完整內容。

根據 Access Now 的說法，這「可能是使用更複雜且昂貴的 iOS 間諜軟體之外，一個潛在的更廉價替代方案」。

在針對 Android 用戶時，駭客使用了一種名為 ProSpy 的間諜軟體，偽裝成流行的通訊應用程式，如 Signal、WhatsApp 和 Zoom，以及在中東地區廣受歡迎的 ToTok 和 Botim。

在某些案例中，駭客試圖誘騙受害者在其 Signal 帳戶中註冊並添加一個由駭客控制的新裝置，這種技術在包括俄羅斯間諜在內的各種駭客組織中非常流行。

印度駐華盛頓特區大使館發言人未立即回應置評請求。