Una recente indagine congiunta di Lookout e SMEX ha svelato l'attività di un gruppo "hack-for-hire", denominato BITTER. Questo gruppo ha preso di mira giornalisti, attivisti e funzionari in Medio Oriente e Nordafrica (MENA), concentrando i suoi attacchi su backup iCloud e dispositivi Android con tecniche di phishing mirate e spyware.
Le tecniche di attacco
Il gruppo ha impiegato attacchi di phishing per sottrarre credenziali Apple ID e accedere ai backup iCloud, ottenendo il contenuto completo dei dispositivi iPhone. Questa strategia si è rivelata un'alternativa potenzialmente più economica rispetto all'uso di sofisticati spyware iOS.
Per i dispositivi Android, è stato identificato lo spyware ProSpy, mascherato da applicazioni popolari come Signal, WhatsApp, Zoom, ToTok e Botim. Questo malware ha permesso ai cybercriminali un controllo remoto significativo. In alcuni casi, è stata usata la tattica di indurre le vittime a registrare un nuovo dispositivo, controllato dagli aggressori, al proprio account Signal.
Obiettivi e contesto geografico
Le indagini hanno documentato attacchi tra il 2023 e il 2025 contro due giornalisti egiziani e uno libanese. La platea delle vittime si estende a funzionari governativi in Bahrein, Emirati Arabi Uniti e Arabia Saudita, oltre a individui nel Regno Unito e potenzialmente negli Stati Uniti o tra gli ex studenti di università americane.
Origini e possibili legami
Lookout sospetta che BITTER sia un fornitore di servizi "hack-for-hire" con possibili legami con il governo indiano, forse un'evoluzione di RebSec Solutions, startup derivata da Appin. Appin e altre aziende indiane simili erano già state oggetto di indagini Reuters nel 2022-2023 per attività di hacking contro dirigenti, politici e militari. Sembra che tali operazioni non siano cessate, ma siano state trasferite a strutture più discrete.
Vantaggi per i clienti e implicazioni per la sicurezza
I committenti di questi gruppi beneficiano di una "plausible deniability", poiché i fornitori gestiscono infrastruttura e operazioni, rendendo difficile risalire al mandante. Queste soluzioni sono inoltre spesso più economiche rispetto all'acquisto di spyware commerciali avanzati.
Mohammed Al-Maskati di Access Now ha sottolineato come la facilità di accesso a tali operazioni complichi l'identificazione dei responsabili, data l'infrastruttura nascosta che non rivela il cliente finale.
Le tecniche impiegate da BITTER, pur non essendo le più avanzate, si dimostrano altamente efficaci, combinando phishing su iCloud e spyware Android camuffati. Questo approccio personalizzato e scalabile riflette una crescente tendenza all'esternalizzazione delle operazioni di hacking da parte dei governi, che si affidano a "mercenari digitali" capaci di operare senza lasciare tracce facilmente identificabili.
In questo contesto, è fondamentale una vigilanza attiva da parte di giornalisti, attivisti e organizzazioni della società civile.
È cruciale rafforzare la protezione degli account cloud, utilizzare autenticazioni robuste e soluzioni anti-phishing, collaborando con esperti di cybersecurity indipendenti come Access Now o Lookout per analizzare e contrastare queste campagne. L'ascesa di gruppi come BITTER sottolinea che la digitalizzazione, oltre a offrire innovazione, impone anche una costante responsabilità di difesa.
