Een groeiende dreiging voor journalisten en activisten
Onderzoekers van digitale rechtenorganisaties hebben een hack‑for‑hire groep blootgelegd die gericht is op mobiele apparaten en iCloud‑back‑ups van personen in het Midden‑Oosten en Noord‑Afrika. De groep maakt gebruik van phishing‑campagnes om toegang te krijgen tot iCloud‑back‑ups en Signal‑berichten, waarna ze Android‑spyware inzetten die volledige controle over de telefoon kan krijgen. Doelwitten variëren van Egyptische en Libanese journalisten tot overheidsfunctionarissen in Bahrein, de Verenigde Arabische Emiraten, Saoedi‑Arabië en zelfs het Verenigd Koninkrijk.
Hoe de aanval werkt
De eerste stap bestaat meestal uit een zorgvuldig samengestelde phishing‑e‑mail die een link of bijlage bevat. Zodra de ontvanger klikt, wordt er een authenticatietoken voor iCloud gestolen, waardoor de hackers toegang krijgen tot foto‑ en chatarchieven. Vervolgens wordt er een kwaadaardige Android‑app geïnstalleerd die de telefoon kan bespioneren, gesprekken kan opnemen en locatiedata kan doorsturen naar de aanvallers. Deze combinatie van cloud‑afluistering en apparaat‑hijacking maakt de campagne bijzonder efficiënt.
De rol van hack‑for‑hire bedrijven
De onderzoeksresultaten tonen aan dat sommige overheden hun cyberoperaties uitbesteden aan commerciële hack‑for‑hire bedrijven. Deze bedrijven leveren spyware en exploit‑pakketten tegen een fractie van de kosten van eigen ontwikkeling. Volgens Lookout zijn er aanwijzingen dat de huidige campagne verband houdt met de BITTER‑APT, een groep die volgens experts banden heeft met de Indiase overheid. Een mogelijke leverancier is de Indiase startup Appin, of een spin‑off daarvan, zoals het inmiddels verdwenen RebSec.
Bewijs en samenwerking
Access Now documenteerde drie afzonderlijke incidenten tussen 2023 en 2025, waaronder twee Egyptische journalisten en één Libanese journalist. Lookout voerde eigen forensische analyse uit en bevestigde dat de aanval zich uitstrekte tot hogere overheidslagen en zelfs tot alumni van Amerikaanse universiteiten. De gezamenlijke rapporten van Access Now, SMEX en Lookout werden woensdag gepubliceerd.
Waarom deze ontwikkeling zorgwekkend is
Hack‑for‑hire diensten bieden hun afnemers plausible ontkenning: zij beheren de volledige infrastructuur, terwijl de klant geen direct spoor nalaat. Bovendien zijn deze diensten vaak goedkoper dan de aanschaf van kant‑en‑klare commerciële spyware, waardoor een breder scala aan entiteiten, van kleine staatsapparaten tot private belangen, toegang krijgt tot geavanceerde spionagetools. De flexibiliteit van deze bedrijven betekent dat zelfs als een grote speler als Appin sluit, de operaties gewoon doorgaan onder een andere naam.
Voor journalisten, activisten en elke persoon die vertrouwelijke gegevens via iCloud of Signal opslaat, is dit een wake‑up‑call. Het onderstreept het belang van multi‑factor authenticatie, het regelmatig bijwerken van apparaat‑software en het beperken van cloud‑back‑ups voor gevoelige informatie.