كشفت منظمات حقوقية مثل Access Now وLookout وSMEX عن حملة تجسس رقمية يُعتقد أنها مرتبطة بجهة تهديد لها صلات بالحكومة الهندية، استهدفت صحفيين ونشطاء ومسؤولين حكوميين في منطقة الشرق الأوسط وشمال أفريقيا. من بين الأهداف صحفيان مصريان بارزان هما مصطفى الأعصر وأحمد الطنطاوي، اللذان تعرضا لسلسلة من هجمات التصيّد الموجّهة بين أكتوبر 2023 ويناير 2024، عبر صفحات مزيفة تحاكي تسجيل الدخول إلى حسابات Apple وGoogle، بهدف سرقة بيانات الدخول ورموز التحقق الثنائية.
أساليب الهجوم وتعدد المنصات المستهدفة
الهجمات لم تقتصر على مصر، إذ استُهدف أيضاً صحفي لبناني مجهول الهوية في مايو 2025 برسائل عبر تطبيقات Apple Messages وواتساب تضمنت روابط خبيثة تنتحل هوية دعم Apple. وأشارت منظمة SMEX إلى أن الحملة ركزت على خدمات Apple لكنها امتدت لتشمل منصات أخرى مثل Telegram وSignal. في حالة الأعصر، بدأ الهجوم برسالة عبر LinkedIn من شخصية وهمية باسم “هايفا كريم”، عرضت عليه فرصة عمل، ثم أُرسل له رابط عبر البريد الإلكتروني يقوده إلى تطبيق خبيث يستخدم بروتوكول OAuth 2.0 لاستغلال أصول Google الشرعية ومنح المهاجمين صلاحيات الوصول.
البنية التحتية والروابط مع حملات سابقة
التحقيقات أظهرت أن بعض النطاقات المستخدمة في هذه الهجمات مثل com-ae[.]net ارتبطت سابقاً بحملة تجسس موثقة من شركة ESET في أكتوبر 2025، والتي استهدفت مستخدمين في الإمارات عبر مواقع مزيفة لتطبيقات مثل Signal وToTok وBotim، لنشر برمجيات تجسس مثل ProSpy وToSpy. هذه البرمجيات قادرة على استخراج بيانات حساسة مثل جهات الاتصال والرسائل القصيرة وملفات الجهاز. كما أن نطاقات أخرى مثل youtubepremiumapp[.]com سبق أن رُبطت بمجموعة Bitter في 2022 ضمن حملة استخدمت مواقع مزيفة لتوزيع برمجية Dracarys.
دلالات الحملة وتوسّع نطاق الاستهداف
رغم أن الحسابات المستهدفة لبعض الصحفيين لم تُخترق بالكامل، إلا أن الهجوم على الصحفي اللبناني أدى إلى اختراق حساب Apple وإضافة جهاز افتراضي للحصول على وصول دائم إلى بياناته. هذه الحملة تشير إلى أن المهاجمين لا يكتفون بالتصيّد بل قد يستخدمون نفس البنية التحتية لتوزيع برمجيات تجسس متقدمة. تحليل شركة Lookout أظهر أن هناك تشابهاً بين برمجية Dracarys وProSpy، رغم اختلاف لغة البرمجة، ما يعكس استمرارية في النهج التقني. اللافت أن مجموعة Bitter لم تُنسب سابقاً إلى حملات تجسس تستهدف المجتمع المدني، ما يفتح احتمالين: إما أن هناك عملية “اختراق مأجور” مرتبطة بها، أو أن المجموعة نفسها وسّعت نطاق أهدافها لتشمل الصحفيين والنشطاء.
كلمات مفتاحية: Bitter, , الأمن السيبراني, الشرق الأوسط, شمال أفريقيا,,, التصيّد الإلكتروني, ProSpy, Dracarys, SMEX, Access Now, Lookout, الحكومة الهندية, المجتمع المدني, برمجيات تجسس, Signal, Telegram,, Apple, Google
