🗓️ Contexte

Publié le 8 avril 2026 par TechCrunch, cet article repose sur des rapports publiés conjointement par Access Now, SMEX et Lookout documentant une campagne d’espionnage attribuée à un groupe hack-for-hire opérant entre 2023 et 2025.

🎯 Cibles

La campagne vise des profils à haute valeur dans plusieurs pays :

  • Journalistes : deux journalistes égyptiens, un journaliste libanais
  • Activistes et membres de la société civile égyptienne et libanaise
  • Officiels gouvernementaux bahreïnis et égyptiens
  • Cibles aux Émirats arabes unis, Arabie saoudite, Royaume-Uni, et potentiellement aux États-Unis ou alumni d’universités américaines

🛠️ Techniques d’attaque

Sur iOS :

  • Phishing de credentials Apple ID pour accéder aux sauvegardes iCloud, donnant accès au contenu complet des iPhones ciblés
  • Tentatives de liaison d’un appareil contrôlé par les attaquants au compte Signal de la victime

Sur Android :

  • Déploiement du spyware ProSpy, se faisant passer pour des applications populaires : Signal, WhatsApp, Zoom, ToTok, Botim

🕵️ Attribution

  • Lookout attribue la campagne à un vendeur hack-for-hire ayant des connexions avec BITTER APT, un groupe soupçonné d’avoir des liens avec le gouvernement indien
  • Justin Albrecht (Lookout) identifie RebSec (potentiellement lié à Appin) comme suspect probable
  • Appin avait été exposé par Reuters en 2022-2023 pour des opérations de hacking à la demande ; la société aurait fermé mais ses activités auraient migré vers de plus petites entités
  • RebSec a supprimé ses comptes sur les réseaux sociaux et son site web

📌 Éléments notables

  • Ces groupes offrent une dénégation plausible à leurs clients gouvernementaux
  • Le modèle hack-for-hire est présenté comme moins coûteux que l’achat de spyware commercial
  • La technique de liaison d’appareil Signal est également utilisée par des espions russes

📄 Type d’article

Article de presse spécialisée s’appuyant sur des publications de recherche coordonnées, visant à documenter et exposer publiquement une campagne d’espionnage hack-for-hire active.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • BITTER APT (state-sponsored)
  • RebSec (cybercriminal)
  • Appin (cybercriminal)

TTP

  • T1566 — Phishing (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1530 — Data from Cloud Storage (Collection)
  • T1417 — Input Capture (Collection)
  • T1476 — Deliver Malicious App via Other Means (Initial Access)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
  • T1512 — Video Capture (Collection)

Malware / Outils

  • ProSpy (rat)

🔗 Source originale : https://techcrunch.com/2026/04/08/hack-for-hire-group-caught-targeting-android-devices-and-icloud-backups/

🖴 Archive : https://web.archive.org/web/20260409020617/https://techcrunch.com/2026/04/08/wireguard-vpn-developer-cant-ship-software-updates-after-microsoft-locks-account/?sidebar=a