文章总结： BITTERAPT组织通过虚假社交媒体资料和钓鱼链接传播ProSpy间谍软件，针对中东地区记者及政治人物进行监控。攻击采用两阶段社会工程手段，利用仿冒Zoom会议、包裹跟踪等主题诱导安装恶意应用。研究发现该恶意软件与BITTER早期工具Dracarys代码结构相似，怀疑是雇佣黑客行为，凸显移动恶意软件商业化趋势。建议用户警惕未经验证的消息和应用下载。 综合评分： 85 文章分类： 恶意软件,威胁情报,移动安全,社会工程学,安全大事件

BITTER 利用ProSpy间谍软件通过虚假即时通讯应用在中东地区传播

原创

ZM ZM

暗镜

2026年4月17日 06:01 北京

在小说阅读器读本章

去阅读

过去一年，网络安全专家观察到，针对中东地区记者、政治家和民间社会成员的大规模间谍活动正在发生。

虽然许多黑客使用开发成本高达数百万美元的昂贵、隐蔽的工具，但此次行动依赖于更简单的方法，例如社会工程和虚假移动应用程序。

Access Now 数字安全热线和 Lookout威胁情报团队的研究人员在 2025 年 8 月对埃及的网络钓鱼攻击进行调查后发现了这一活动。

ProSpy如何感染和窃取数据

攻击者采用精心设计的两阶段方法来欺骗受害者。首先，他们利用虚假社交媒体平台（例如 LinkedIn）上的个人资料联系受害者，或冒充苹果客服发送私信。他们诱骗受害者点击恶意钓鱼链接。

这些链接使用各种虚假主题来欺骗用户，包括虚假的 Zoom 会议邀请、Microsoft Office 登录页面和包裹跟踪提醒。

他们还利用 Signal 的二维码链接功能，巧妙地让黑客能够秘密地完全访问受害者的加密消息。

追溯此次活动的起源，研究人员发现了与南亚知名黑客组织 BITTER APT 的联系。

BITTER 组织至少从 2013 年就开始活跃，其攻击目标通常是政府、军事和能源部门，目的是收集情报。

然而，针对中东民间社会和记者的袭击，对于这个威胁组织来说是一种全新的行为。

通过分析用于传播恶意软件的网络基础设施，确定了二者之间的关联。安全专家发现，ProSpy 攻击活动中使用的一个网站域名此前曾与“Dracarys”相关联，Dracarys 是 BITTER 公司在 2022 年使用的一种较早的安卓间谍软件。

这两个恶意软件家族的代码结构惊人地相似。它们都使用相同的任务处理逻辑，依赖于服务器发送的编号命令，并将自己伪装成安全消息应用程序的“专业版”或“高级版”。

由于针对公民社会的行为完全超出了 BITTER 的通常运作范围，研究人员强烈怀疑这是一场“雇佣黑客”行动。

某个不明实体可能雇佣了与 BITTER 有关联的雇佣黑客组织，对这些特定的中东目标进行间谍活动。

此前，总部位于印度的黑客雇佣公司曾将目标瞄准中东，他们通常使用类似的钓鱼攻击手段，并重点攻击安卓设备。

Lookout 的研究表明，这一发现凸显了网络安全领域日益增长且危险的趋势。

高级移动恶意软件不再局限于国家支持的间谍活动；越来越多的商业供应商和雇佣黑客组织也开始提供此类恶意软件。

随着这些威胁的不断增长，组织和易受攻击的个人必须对未经请求的消息保持高度警惕，并避免从非官方网站下载应用程序。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《BITTER 利用ProSpy间谍软件通过虚假即时通讯应用在中东地区传播》