Investigadores en ciberseguridad han detectado un grupo de ciberdelincuentes que opera bajo la modalidad de “hack-for-hire” y que apunta a periodistas, activistas y funcionarios gubernamentales de Medio Oriente y el norte de África.
Esta red ha realizado ataques a través de métodos de phishing para acceder a copias de seguridad de iCloud y cuentas de mensajería como Signal, además de desplegar software espía en dispositivos Android, logrando el control total de los equipos de sus víctimas.
Un fenómeno en expansión: hackers a sueldo en operaciones estatales
El caso ilustra una tendencia creciente entre agencias gubernamentales que tercerizan operaciones de espionaje digital a empresas privadas especializadas. Según Access Now, organización dedicada a la defensa de derechos digitales, durante 2023 y 2025 se documentaron al menos tres incidentes contra dos periodistas egipcios y uno libanés, el último en colaboración con la organización SMEX.
La firma de ciberseguridad Lookout también participó en la investigación y confirmó que los ataques no solo se dirigieron a miembros de la sociedad civil en Egipto y Líbano, sino también a funcionarios en Baréin, Emiratos Árabes Unidos, Arabia Saudita, el Reino Unido y, posiblemente, Estados Unidos o personas vinculadas a instituciones estadounidenses.
Un grupo vinculado a empresas indias de ciberespionaje
Lookout identificó que los responsables de la campaña de espionaje trabajan para un proveedor de servicios de hackeo por encargo con conexiones al grupo BITTER APT, sospechoso de tener vínculos con el gobierno de la India.
Justin Albrecht, investigador principal de Lookout, declaró a TechCrunch que la compañía detrás de estos ataques podría ser una escisión de la firma india Appin, activa en el negocio del ciberespionaje hasta que fue expuesta y aparentemente cerrada. Tras el cierre, los atacantes habrían migrado a empresas más pequeñas, como RebSec, que actualmente no tiene presencia pública tras eliminar redes sociales y sitio web.
Según Albrecht, estas estructuras otorgan a los clientes “negación plausible”, ya que todo el control operativo recae en los proveedores y resulta difícil rastrear al beneficiario final. Además, subrayó que contratar estos servicios puede resultar más económico para los gobiernos que adquirir spyware comercial desarrollado por grandes empresas.
Técnicas de ataque: phishing y suplantación de aplicaciones
Los investigadores detallaron varias tácticas empleadas por los ciberdelincuentes. Al atacar usuarios de iPhone, los hackers intentaron obtener credenciales de Apple ID mediante engaños, lo que les permitiría acceder a las copias de seguridad almacenadas en iCloud y, por tanto, a la totalidad de la información del dispositivo. Access Now señaló que este método representa una alternativa de menor costo frente a la adquisición de spyware avanzado para iOS.
Cuando el objetivo eran dispositivos Android, el grupo desplegó un software espía denominado ProSpy, que imitaba aplicaciones populares de mensajería como Signal, WhatsApp, Zoom, ToTok y Botim, estas últimas muy usadas en la región.
En algunos casos, los atacantes intentaron registrar un nuevo dispositivo bajo su control en la cuenta de Signal de la víctima, una estrategia ya observada en campañas atribuidas a agentes de inteligencia rusos.
Dificultad para rastrear a los responsables
Mohammed Al-Maskati, director de la línea de ayuda de seguridad digital de Access Now, explicó que la externalización de estas operaciones reduce costos y permite a los clientes eludir la responsabilidad, ya que la infraestructura utilizada no revela la identidad del usuario final. Aunque los grupos como BITTER APT no cuentan con las herramientas más sofisticadas de espionaje, sus métodos han demostrado ser efectivos.
La embajada de India en Washington, D.C., no respondió a las solicitudes de comentarios sobre estas investigaciones. La publicación de los informes de Access Now, SMEX y Lookout fue coordinada, pero cada entidad difundió sus hallazgos por separado.
El caso pone de relieve la facilidad con la que gobiernos y actores privados pueden contratar servicios de espionaje digital con altos niveles de anonimato y a costos menores que los de los programas de spyware tradicionales. Los expertos advierten que el fenómeno seguirá expandiéndose, con ataques dirigidos a sectores clave como el periodismo, el activismo y las administraciones públicas.