堆代码讯 安全研究人员最近曝光了一个隐蔽的雇佣黑客团伙，他们专门盯着中东和北非的记者、活动人士，甚至政府官员，用钓鱼偷 iCloud 备份、伪装成常用 APP 装间谍软件的方式，疯狂窃取目标的隐私。而更可怕的是，这个团伙，其实是之前被曝光的印度黑客公司的新马甲 —— 原来的大公司关了，他们拆成小公司继续干，还能帮客户甩锅、逃避责任。

这起攻击，已经被多个安全组织联合曝光。数字权利组织 Access Now，还有移动安全公司 Lookout，联合调查了 2023 到 2025 年的三起攻击，受害者里有两名埃及记者，还有一名黎巴嫩记者。他们发现，这个团伙的目标远不止这些，除了埃及、黎巴嫩的公民社会成员，还有巴林、阿联酋、沙特的政府人员，甚至英国、美国的相关人士，都在他们的瞄准镜里。而他们的手段，说不上多顶尖，但是足够有效，而且足够便宜。

针对 iPhone 用户，他们根本不用买那种动辄几百万的顶级 iOS 间谍软件，而是用最传统的钓鱼：骗受害者交出自己的 Apple ID 和密码，然后直接登录 iCloud，把整个手机的备份全下载下来 —— 这样一来，受害者手机里的所有内容，就全落到黑客手里了。这可比买那种复杂的越狱间谍软件便宜太多了，普通人也根本防不住。

针对安卓用户，他们更狠，做了一个叫 ProSpy 的间谍软件，直接伪装成 Signal、WhatsApp、Zoom 这些大家天天用的 APP，甚至还有中东人常用的 ToTok 和 Botim，骗受害者下载。一旦用户装了，这个间谍软件就能直接控制你的手机，偷你的所有数据。还有的黑客，会骗受害者把自己控制的设备，加到用户的 Signal 账号里，这样就能直接偷用户的 Signal 聊天记录 —— 这个手段，之前俄罗斯的间谍也用过。而这一切的背后，是一个和印度政府有关的雇佣黑客网络。

Lookout 的研究员发现，这个团伙，和一个叫 BITTER APT 的黑客组织有关，这个组织早就被安全圈怀疑，是和印度政府绑定的黑客团队。而这次的行动，背后的公司，很可能是之前大名鼎鼎的印度黑客公司 Appin 的分支。之前路透社就曝光过 Appin，这家印度的初创公司，专门帮客户入侵高管、政客、军方官员，啥活都接。后来被曝光之后，Appin 就关了，但是研究员发现，这些人根本没消失，而是拆成了更小的公司，比如这次的 RebSec，继续干老本行。

原来的大公司没了，拆成小公司，好处太多了。对客户来说，你可以甩锅啊，你可以说 “我不知道啊，这是私人黑客干的”，合理推诿，反正你不用直接背锅。而且，雇佣这些小团伙，比买那种商业间谍软件还便宜，性价比更高。Access Now 的主管就说，现在这种行动，越来越便宜，也越来越难追了。你根本查不到最终的客户是谁，那些黑客的基础设施，也根本查不到背后的实体，客户可以完美隐身，把所有的脏活都推给这些雇佣黑客。

哪怕这些团伙的工具，不是最顶尖的，但是对普通人、对记者来说，已经足够致命了。他们不需要攻破 iOS 的漏洞，只要骗你交出密码就行，这种钓鱼攻击，什么时候都有效。现在，印度大使馆也没回应这件事。只是越来越多的信号显示，原来的商业间谍公司，正在变成这种小的雇佣黑客团伙，他们帮政府或者其他客户，干那些见不得人的间谍活，还能帮客户逃避责任。只是对那些被盯上的记者和活动人士来说，这意味着，他们的隐私，正在变成这些黑客的生意。