Una aparente campaña de piratería informática por parte de un grupo con presuntas conexiones con el gobierno indio se dirigió a periodistas y activistas de Medio Oriente y África del Norte utilizando software espía, dijeron tres organizaciones colaboradoras en informes publicados el miércoles.

Los ataques compartieron infraestructura que apuntaba al grupo de amenaza avanzada persistente conocido como Bitter, que con mayor frecuencia apunta a sectores gubernamentales, militares, diplomáticos y de infraestructura crítica en todo el sur de Asia, según las conclusiones de investigadores de Access Now, Lookout y SMEX.

Cada grupo asumió una pieza diferente del rompecabezas:

• Accede ahora recibió llamadas a su línea de ayuda que lo llevaron a examinar una campaña de phishing en 2023 y 2024. Se comunicó con Lookout para obtener soporte técnico sobre el malware que encontró.
• Estar atento atribuyó el malware a Bitter y concluyó que probablemente se trataba de una campaña de hackeo a sueldo, utilizando el software espía Android ProSpy.
• PYME El año pasado se sumergió en una campaña de phishing dirigida a un destacado periodista libanés y colaboró ​​con Access Now para descubrir una infraestructura compartida entre las campañas.

Una de las víctimas, el periodista independiente egipcio Mostafa Al-A'sar, dijo que se puso en contacto con Access Now después de recibir un enlace sospechoso de alguien con quien había estado hablando sobre un puesto de trabajo. Se mostró escéptico porque su teléfono había sido atacado antes, cuando fue arrestado en Egipto en 2018.

La lección para los periodistas y los grupos de la sociedad civil es que la ciberseguridad “no es un lujo”, afirmó.

«Me siento amenazado», dijo Al-A'sar, y aunque vivía en el exilio, siente que «todavía me siguen. También me sentí preocupado por mi familia, mis amigos, mis fuentes».

La investigación combinada encontró una campaña más amplia que solo las víctimas originales.

“Nuestros hallazgos conjuntos exponen una campaña de espionaje que ha estado operativa desde al menos 2022 hasta el día de hoy, dirigida principalmente a miembros de la sociedad civil y potencialmente a funcionarios gubernamentales en el Medio Oriente”, escribió Lookout. «La operación presenta una combinación de phishing dirigido dirigido a través de cuentas falsas de redes sociales y aplicaciones de mensajería que aprovechan esfuerzos persistentes de ingeniería social, lo que puede resultar en la entrega de software espía de Android dependiendo del dispositivo del objetivo».

El Comité para la Protección de los Periodistas condenó la campaña.

«Espiar a periodistas es a menudo el primer paso en un patrón más amplio de intimidación, amenazas y ataques», dijo la directora regional del grupo, Sara Qudah. «Estas acciones ponen en peligro no sólo la seguridad personal de los periodistas, sino también sus fuentes y su capacidad para hacer su trabajo. Las autoridades de la región deben dejar de utilizar tecnología y recursos financieros como armas para vigilar a los periodistas».

Access Now dijo que no tenía suficiente información para atribuir quién estaba detrás de los ataques que identificó.

ESET publicó por primera vez una investigación sobre el malware ProSpy el año pasado, después de descubrir que estaba dirigido a residentes de los Emiratos Árabes Unidos.