Netcrook Logo
👤 LOGICFALCON
🗓️ 09 Apr 2026   🌍 Africa

Phishing per il dissenso: dentro l’attacco informatico legato a Bitter su LinkedIn contro i giornalisti MENA

Una sofisticata campagna di hack-for-hire, forse legata a interessi indiani, sta prendendo di mira giornalisti e attivisti in tutto il Medio Oriente e il Nord Africa con incessanti attacchi di phishing.

Quando Mostafa Al-A'sar, noto giornalista egiziano e critico del suo governo, ha ricevuto un messaggio su LinkedIn riguardo a una nuova opportunità di lavoro, non aveva idea che fosse la mossa d’apertura di una campagna di cyber-spionaggio ad alta posta in gioco. Il messaggio, apparentemente innocuo, ha presto condotto a una serie di trappole digitali, tra cui pagine di accesso false e link Zoom malevoli - parte di una vasta operazione di hack-for-hire che prende di mira le voci più esplicite della società civile in tutta la regione MENA.

Le indagini di Access Now, Lookout e SMEX hanno scoperchiato i livelli di questa operazione, rivelando una campagna che combina astuzia tecnica e social engineering incessante. Gli attacchi, attivi dal 2023 fino almeno a metà 2025, utilizzano un mix di portali di accesso falsi e schermate di consenso OAuth per carpire credenziali e aggirare l’autenticazione a due fattori. In particolare, gli hacker impersonano marchi affidabili come Apple e Google, indirizzando le vittime verso domini come “signin-apple.com-en-uk[.]co” ed “en-account.info”.

Un attacco è iniziato con un messaggio su LinkedIn da parte di una persona inventata, “Haifa Kareem”, che ha adescato Al-A'sar con una proposta di lavoro prima di inviargli un link Zoom malevolo. Il link, abilmente camuffato e accorciato, ha avviato un attacco di phishing Google OAuth - ingannando il bersaglio e inducendolo a concedere permessi a un’app che potevano convogliare silenziosamente dati privati agli attaccanti. In un altro caso, un giornalista libanese ha ricevuto tentativi di phishing tramite Apple Messages e WhatsApp, uno dei quali ha compromesso con successo il suo account Apple e ha consentito l’aggiunta di un dispositivo virtuale per una sorveglianza persistente.

Ciò che rende questa campagna particolarmente allarmante è la sua sovrapposizione con infrastrutture usate in precedenti attacchi spyware negli Emirati Arabi Uniti. Domini come “com-ae[.]net” sono stati collegati a spyware Android come ProSpy e Dracarys, entrambi capaci di sottrarre contatti, SMS e file. Sebbene in questa ondata non sia stato confermato alcuno spyware sui dispositivi dei giornalisti, l’infrastruttura è predisposta per tali payload, suggerendo un più ampio sforzo di sorveglianza regionale.

L’attribuzione punta al cluster di minaccia Bitter - un gruppo noto per attività di spionaggio nell’interesse del governo indiano - anche se è la prima volta che un’infrastruttura collegata a Bitter viene osservata mentre prende di mira la società civile anziché attori statali. Non è chiaro se questo segnali una nuova direzione per Bitter o l’emergere di un gruppo hack-for-hire parallelo e affiliato. Ciò che è certo è che i confini tra spionaggio da parte di Stati e cybercriminalità mercenaria si stanno sfumando, lasciando giornalisti e attivisti nel mirino.

Man mano che il campo di battaglia digitale si espande, aumenta anche il rischio per chi osa parlare. La campagna collegata a Bitter è un monito netto: nel mondo di oggi, la lotta per la verità e la trasparenza non si combatte solo nella piazza pubblica, ma anche negli angoli oscuri del cyberspazio - dove un singolo clic può aprire la porta alla sorveglianza e al silenziamento.

WIKICROOK

  • Spear: lo spear phishing è un attacco informatico mirato che utilizza email personalizzate per ingannare specifiche persone o organizzazioni e indurle a rivelare informazioni sensibili.
  • OAuth: OAuth è un protocollo che consente agli utenti di dare alle app accesso ai propri account senza condividere le password, migliorando la sicurezza ma comportando anche alcuni rischi.
  • Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
  • Social engineering: il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
  • Command and Control (C2): il Command and Control (C2) è il sistema che gli hacker usano per controllare da remoto i dispositivi infetti e coordinare attacchi informatici malevoli.
Phishing Cybersecurity MENA Journalists
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news