Investigadores de segurança dizem ter identificado um grupo de hackers de aluguer que tem como alvo jornalistas, ativistas e funcionários governamentais em todo o Médio Oriente e Norte de África. Os hackers usaram ataques de phishing para acessar os backups do iCloud e contas de mensagens dos alvos no Signal, e implantaram spyware Android capaz de assumir o controle dos dispositivos dos alvos.
Esta campanha de hackers destaca uma tendência crescente de agências governamentais terceirizarem suas operações de hackers para empresas privadas de aluguel de hackers. Alguns governos já dependem de empresas comerciais que desenvolvem spyware e explorações utilizadas pela polícia e agências de inteligência para aceder a dados nos telefones das pessoas.
Pesquisadores da organização de direitos digitais Access Now documentaram três casos de ataques entre 2023 e 2025 contra dois jornalistas egípcios e um jornalista no Líbano cujo caso também foi documentado pela organização de direitos digitais SMEX.
Empresa de segurança cibernética móvel Lookout também investigou esses ataques. As três organizações colaboraram entre si e publicaram relatórios separados na quarta-feira.
De acordo com a Lookout, os ataques vão além dos membros da sociedade civil egípcia e libanesa e incluem alvos nos governos do Bahrein e do Egito, bem como alvos nos Emirados Árabes Unidos, na Arábia Saudita, no Reino Unido e, potencialmente, nos Estados Unidos ou em ex-alunos de universidades americanas.
A Lookout concluiu que os hackers por trás desta campanha de espionagem trabalham para um fornecedor de hacks de aluguel com conexões com o BITTER APT, um grupo de hackers que segurança cibernética empresas suspeito tem ligações com o governo indiano.
Justin Albrecht, principal pesquisador da Lookout, disse ao TechCrunch que a empresa por trás da campanha pode ser uma ramificação da startup indiana de hack-for-hire Appin, e observou uma dessas empresas chamada RebSec como possível suspeito. Em 2022 e 2023, a Reuters publicou extenso investigações na Appin e outras empresas semelhantes sediadas na Índia, que expuseram como essas empresas são supostamente contratadas para hackear executivos, políticos, oficiais militares e outros.
Evento Techcrunch
São Francisco, Califórnia
|
13 a 15 de outubro de 2026
A Appin aparentemente fechou mais tarde, mas Albrecht observou que a descoberta desta nova campanha de hackers mostra que a atividade “não desapareceu e eles apenas se mudaram para empresas menores”.
Estes grupos e os seus clientes obtêm “negação plausível, uma vez que gerem todas as operações e infra-estruturas”. E para os seus clientes, estes grupos de aluguer de hackers são provavelmente mais baratos do que comprar spyware comercial, disse Albrecht.
A Rebsec não foi encontrada para comentar, pois a empresa excluiu suas contas de mídia social e seu site.
Contate-nos
Você tem mais informações sobre Rebsec Solutions? Ou outras empresas de aluguel? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail.
Mohammed Al-Maskati, investigador e diretor da Linha Direta de Segurança Digital da Access Now que trabalhou nesses casos, disse que “essas operações ficaram mais baratas e é possível fugir da responsabilidade, especialmente porque não saberemos quem é o cliente final, e a infraestrutura não revelará a entidade por trás disso”.
Embora grupos como o BITTER possam não ter as ferramentas de hacking e espionagem mais avançadas, suas táticas ainda podem ser altamente eficazes.
Na parte de ataques desta campanha, os hackers usaram diversas técnicas diferentes. Ao atacar usuários de iPhone, os hackers tentaram enganar os alvos para que cedessem suas credenciais de ID Apple, a fim de invadir seus backups do iCloud, o que efetivamente lhes daria acesso ao conteúdo completo dos iPhones dos alvos.
Esta é “potencialmente uma alternativa mais barata ao uso de spyware iOS mais sofisticado e caro”, de acordo com o Access Now.
Ao atacar usuários do Android, os hackers usaram um spyware chamado ProSpy, disfarçado de aplicativos populares de mensagens e comunicação como Signal, WhatsApp e Zoom, bem como ToTok e Botim, dois aplicativos populares no Oriente Médio.
Em alguns casos, os hackers tentaram enganar as vítimas para que se registassem e adicionassem um novo dispositivo – controlado pelos hackers – à sua conta Signal, uma técnica que tem sido popular entre vários grupos de hackers, incluindo espiões russos.
Um porta-voz da embaixada indiana em Washington, DC, não respondeu imediatamente a um pedido de comentário.
