2023年10月到2025年5月，埃及記者M(jìn)ostafa Al-A'sar的郵箱里先后出現(xiàn)了兩封"工作邀約"。一封來自LinkedIn上的"Haifa Kareem"，另一封偽裝成蘋果客服。兩次釣魚，同一個幕后團(tuán)隊(duì)——Access Now、Lookout和SMEX三家機(jī)構(gòu)追蹤發(fā)現(xiàn)，這是一場橫跨中東北非的"黑客雇傭"行動，疑似與印度政府有關(guān)聯(lián)。

釣魚郵件的工業(yè)化生產(chǎn)

攻擊者的工具箱里沒什么新玩意兒，但組合得足夠精巧。針對Al-A'sar的第一波攻擊發(fā)生在2023年10月，假蘋果登錄頁騙他交出賬號密碼和二次驗(yàn)證（2FA）碼。三個月后，同一批人換了個劇本：LinkedIn上的虛假人脈→Rebrandly短鏈接→Google OAuth授權(quán)頁面。

后者更隱蔽。用戶如果已登錄Google，看到的不是密碼框，而是一個"第三方應(yīng)用請求權(quán)限"的界面。應(yīng)用名叫"en-account.info"，披著合法Google資產(chǎn)的外衣。Access Now的分析指出："攻擊者利用的是用戶熟悉的登錄流程，而不是偽造的界面。"

受害者不止Al-A'sar一人。埃及另一位記者Ahmed Eltantawy在2024年1月收到類似攻擊，兩人都有個共同點(diǎn)：曾因批評政府入獄，其中一人此前就中過商業(yè)間諜軟件的招。2025年5月，一名匿名的黎巴嫩記者也收到iMessage和WhatsApp上的"蘋果支持"消息，鏈接指向同樣的憑證收割頁面。SMEX的記錄顯示，Telegram和Signal也在目標(biāo)清單上。

時間線里的組織痕跡

把攻擊串成時間線，能看到明顯的運(yùn)營節(jié)奏。2023年Q4到2024年Q1密集針對埃及目標(biāo)，間隔不超過三個月；2025年Q2轉(zhuǎn)向黎巴嫩，平臺從郵件擴(kuò)展到即時通訊。攻擊者沒有利用零日漏洞，而是堆疊社會工程學(xué)——假身份、假 urgency、假官方渠道。

這種"低技術(shù)、高運(yùn)營"的模式，和典型的國家級APT（高級持續(xù)性威脅）不太一樣。Lookout的研究人員提到，基礎(chǔ)設(shè)施和TTP（戰(zhàn)術(shù)、技術(shù)與程序）與一個叫Bitter的組織存在重疊。Bitter是一個長期活躍的威脅組織，過去十年多次被關(guān)聯(lián)到針對南亞和中國目標(biāo)的網(wǎng)絡(luò)間諜活動。

但這一次的目標(biāo)地理和攻擊動機(jī)更值得玩味。中東北非的記者、活動家、政府官員——不是傳統(tǒng)意義上的情報價值目標(biāo)，更像是"按需定制"的監(jiān)控服務(wù)。Access Now在報告中用了"hack-for-hire"（雇傭黑客）這個詞，暗示攻擊者可能不是為自己干活。

OAuth釣魚的隱蔽升級

傳統(tǒng)的釣魚頁面容易被瀏覽器標(biāo)記或用戶識破。OAuth授權(quán)流程不一樣——域名是合法的google.com，SSL證書沒問題，界面和用戶日常見過的第三方登錄一模一樣。攻擊者注冊一個惡意應(yīng)用，誘導(dǎo)用戶點(diǎn)擊"同意"，就能拿到Gmail、云端硬盤、日歷的訪問令牌。

更麻煩的是，即使用戶事后改了密碼，令牌可能仍然有效，直到手動撤銷應(yīng)用權(quán)限。大多數(shù)人根本不知道去哪里查"已授權(quán)第三方應(yīng)用"這個 buried menu。

Al-A'sar收到的Rebrandly短鏈接，是這種攻擊的標(biāo)準(zhǔn)配件。短鏈服務(wù)掩蓋真實(shí)目的地，同時提供點(diǎn)擊統(tǒng)計(jì)，讓攻擊者能追蹤哪些目標(biāo)"上了鉤"。LinkedIn上的"Haifa Kareem"賬號，則解決了釣魚的第一道難題：如何讓人點(diǎn)開鏈接。工作機(jī)會比"您的賬號異常"更有說服力，尤其是對自由撰稿人。

記者群體的結(jié)構(gòu)性脆弱

三家機(jī)構(gòu)的報告里有個細(xì)節(jié)容易被忽略：所有已確認(rèn)的受害者，都是"已知的政府批評者"。這不是隨機(jī)撒網(wǎng)，而是精準(zhǔn)點(diǎn)名。埃及和黎巴嫩的新聞環(huán)境，讓這類人群本身就處于多重監(jiān)控之下——數(shù)字攻擊只是物理威脅的延伸。

SMEX的數(shù)字安全熱線記錄顯示，中東北非地區(qū)的記者求助量在2023-2024年上升了40%以上，釣魚和賬號接管是最常見的兩類事件。但多數(shù)受害者不會公開披露，Al-A'sar和Eltantawy愿意配合調(diào)查是例外。更多人選擇沉默，因?yàn)槌姓J(rèn)被黑可能暴露消息來源，或被視為"操作安全意識不足"的職業(yè)污點(diǎn)。

蘋果的生態(tài)系統(tǒng)在這次攻擊中成為主要入口，有點(diǎn)反直覺。iMessage和Apple ID通常被認(rèn)為比開放安卓生態(tài)更安全，但"安全"本身成了社會工程的杠桿——用戶更信任"蘋果支持"的消息，更少懷疑iMessage上的鏈接。攻擊者顯然算準(zhǔn)了這一點(diǎn)。

溯源的灰色地帶

報告將攻擊者與印度政府"疑似關(guān)聯(lián)"，但沒有給出直接證據(jù)。這種措辭在威脅情報領(lǐng)域很常見：基礎(chǔ)設(shè)施重疊、歷史行為模式、地緣政治動機(jī)，三者疊加形成"高置信度評估"，而非法庭級別的舉證。

Bitter組織本身是個模糊的存在。公開記錄中，它最早在2013年被發(fā)現(xiàn)，長期針對巴基斯坦、中國等國的軍事和外交目標(biāo)。如果確實(shí)是同一批人，這次轉(zhuǎn)向中東記者意味著業(yè)務(wù)范圍擴(kuò)張，或者——更可能的——工具和方法的租賃化。雇傭黑客市場的成熟，讓國家級能力可以打包出售給任何有預(yù)算的客戶。

誰在購買這些服務(wù)？報告沒有點(diǎn)名。但受害者的身份提供了線索：埃及政府的批評者、黎巴嫩的獨(dú)立記者。這兩個國家的政治格局里，有動機(jī)也有資源實(shí)施跨境數(shù)字監(jiān)控的行為體，名單并不長。

防御端的滯后

Google和Apple的應(yīng)對，在事件曝光前基本處于被動。OAuth應(yīng)用的審核機(jī)制沒有攔截"en-account.info"；iMessage的鏈接預(yù)覽功能，反而讓釣魚URL看起來更正規(guī)。兩家公司在2024年后陸續(xù)加強(qiáng)了異常登錄提醒和第三方應(yīng)用審計(jì)，但攻擊者已經(jīng)換了一批目標(biāo)。

對個體用戶而言，有效的防御措施出奇地低技術(shù)：定期檢查Google賬號的"第三方應(yīng)用權(quán)限"頁面，對任何索要驗(yàn)證碼的消息保持懷疑，工作邀約通過獨(dú)立渠道二次確認(rèn)。但這些步驟和"正常使用"之間存在永恒的摩擦——完全按安全規(guī)范操作，很多日常工作根本無法推進(jìn)。

Al-A'sar在2024年1月那次攻擊中最終沒有上當(dāng)，因?yàn)樗⒁獾絑oom鏈接的域名異常。這個細(xì)節(jié)被寫在報告里，幾乎像是對讀者的暗示：在工業(yè)化的釣魚流水線面前，個體的警覺仍然是最后一道防線，盡管它本不該是。

SMEX的安全研究員在報告末尾加了一句：「我們追蹤的下一個目標(biāo)會是誰？」攻擊者沒有收手的跡象，而中東北非的記者們，還在等一個不會到來的"官方警告"。