Kampanye Hack-for-Hire Terkait Bitter Serang Jurnalis di Kawasan MENA

Sebuah kampanye hack-for-hire yang diduga kuat dikendalikan oleh aktor ancaman dengan hubungan ke pemerintah India menargetkan jurnalis, aktivis, dan pejabat pemerintah di kawasan Timur Tengah dan Afrika Utara (MENA). Temuan ini diungkap oleh Access Now, Lookout, dan SMEX.

Target Utama dan Metode Serangan

Dua jurnalis Mesir yang dikenal kritis terhadap pemerintah, Mostafa Al-A'sar dan Ahmed Eltantawy, menjadi sasaran serangkaian serangan spear-phishing antara Oktober 2023 dan Januari 2024. Serangan ini berupaya membobol akun Apple dan Google mereka dengan mengarahkan korban ke laman palsu yang menipu agar memasukkan kredensial dan kode autentikasi dua faktor (2FA).

"Serangan ini berlangsung dari 2023 hingga 2024, dan kedua target merupakan kritikus pemerintah Mesir yang pernah mengalami penahanan politik; salah satunya juga pernah menjadi korban spyware," ujar Digital Security Helpline dari Access Now.

Selain itu, seorang jurnalis Lebanon anonim juga menjadi korban pada Mei 2025. Ia menerima pesan phishing melalui aplikasi Apple Messages dan WhatsApp yang berisi tautan berbahaya, yang saat diklik memancing korban untuk memasukkan kredensial akun Apple sebagai bagian dari proses verifikasi palsu.

"Kampanye phishing ini melibatkan serangan persistent melalui iMessage/Apple Messenger dan WhatsApp, dengan modus menyamar sebagai Apple Support," kata SMEX, organisasi hak digital di kawasan Barat Asia dan Afrika Utara (WANA). "Meski fokus utama adalah layanan Apple, terdapat indikasi platform lain seperti Telegram dan Signal juga menjadi target."

Strategi Phishing dan Infrastruktur Serangan

Contoh serangan terhadap Al-A'sar dimulai dengan pesan LinkedIn dari akun palsu bernama "Haifa Kareem" yang menawarkan kesempatan kerja. Setelah jurnalis tersebut memberikan nomor telepon dan email, ia menerima email berisi tautan untuk bergabung dalam panggilan Zoom. Link itu menggunakan URL shortening dari Rebrandly dan mengarahkan ke situs web phishing yang memanfaatkan OAuth 2.0 Google untuk mendapatkan akses tidak sah ke akun korban melalui aplikasi berbahaya bernama "en-account.info."

"Berbeda dengan serangan sebelumnya yang menggunakan domain palsu Apple, serangan ini memanfaatkan fitur login Google yang sah untuk menipu korban agar memberikan akses ke akun mereka," jelas Access Now.

Daftar Domain Phishing dan Hubungan dengan Spyware

Berikut adalah beberapa domain yang digunakan dalam serangan phishing ini:

• signin-apple.com-en-uk[.]co
• id-apple.com-en[.]io
• facetime.com-en[.]io
• secure-signal.com-en[.]io
• telegram.com-en[.]io
• verify-apple.com-ae[.]net
• join-facetime.com-ae[.]net
• android.com-ae[.]net
• encryption-plug-in-signal.com-ae[.]net

Menariknya, domain dengan akhiran "com-ae[.]net" juga digunakan dalam kampanye spyware Android yang didokumentasikan oleh perusahaan keamanan siber Slovakia, ESET, pada Oktober 2025. Spyware bernama ProSpy dan ToSpy itu menyamar sebagai plugin enkripsi Signal untuk mendapatkan akses data sensitif seperti kontak, SMS, metadata perangkat, dan file lokal.

Hasil Serangan dan Implikasi Pengawasan

Meski akun kedua jurnalis Mesir tersebut tidak berhasil dibobol, SMEX melaporkan bahwa akun Apple jurnalis Lebanon tersebut berhasil dikompromikan pada serangan pertama tanggal 19 Mei 2025, termasuk penambahan perangkat virtual yang memungkinkan akses berkelanjutan ke data korban. Gelombang serangan kedua gagal.

"Meskipun tidak ditemukan bukti spyware pada ketiga jurnalis, metode dan infrastruktur yang digunakan menunjukkan potensi pengiriman muatan berbahaya dan ekstraksi data sensitif," kata Access Now. "Ini mengindikasikan kampanye tersebut mungkin bagian dari upaya pengawasan regional untuk memantau komunikasi dan mengumpulkan data pribadi."

Keterkaitan dengan Bitter dan Operasi Hack-for-Hire

Lookout mengaitkan kampanye ini dengan operasi hack-for-hire yang berhubungan dengan Bitter, kelompok ancaman yang diduga melakukan pengumpulan intelijen atas nama pemerintah India. Kampanye ini sudah aktif sejak minimal 2022 dan menargetkan korban di Bahrain, U.A.E, Arab Saudi, Inggris, Mesir, serta kemungkinan Amerika Serikat atau alumni universitas AS.

"Operasi ini memadukan spear-phishing melalui akun media sosial palsu dan aplikasi pesan dengan rekayasa sosial yang persisten, yang berpotensi mengirim spyware Android tergantung perangkat korban," jelas perusahaan keamanan siber tersebut.

Koneksi Bitter terlihat dari hubungan infrastruktur antara domain "com-ae[.]net" dengan "youtubepremiumapp[.]com," yang sebelumnya diidentifikasi oleh Cyble dan Meta pada Agustus 2022 terkait kampanye espionase Bitter menggunakan situs palsu menyerupai layanan terpercaya seperti YouTube dan WhatsApp untuk menyebarkan malware Android bernama Dracarys.

Lookout juga menemukan kemiripan antara Dracarys dan ProSpy, meski ProSpy menggunakan bahasa pemrograman Kotlin dan dikembangkan beberapa tahun kemudian. Kedua malware ini menggunakan logika pekerja dan penamaan kelas yang serupa, serta pola perintah C2 bernomor.

Analisis Redaksi

Menurut pandangan redaksi, kampanye hack-for-hire ini menandai sebuah pergeseran signifikan dalam modus operandi serangan siber terhadap masyarakat sipil di kawasan MENA. Keterlibatan Bitter, yang sebelumnya dikenal hanya menargetkan kepentingan intelijen pemerintah, menunjukkan kemungkinan eskalasi dan diversifikasi target yang mengkhawatirkan.

Selain itu, penggunaan teknik phishing berbasis OAuth dan platform pesan populer seperti iMessage, WhatsApp, Telegram, dan Signal menandakan bahwa aktor jahat semakin memanfaatkan teknologi legitimitas untuk menipu korban dengan cara yang sulit dideteksi. Hal ini memperkuat pentingnya kesadaran keamanan digital dan perlindungan berlapis untuk para jurnalis dan aktivis yang berada di garis depan kebebasan berekspresi.

Kita harus tetap waspada karena kampanye ini kemungkinan besar akan terus berkembang dan menyasar lebih banyak individu di berbagai wilayah. Dukungan dari komunitas keamanan siber dan organisasi hak digital menjadi krusial untuk melindungi para target yang rentan dari pengawasan dan serangan berkelanjutan.

Kesimpulan dan Langkah Selanjutnya

Kampanye hack-for-hire yang terhubung dengan Bitter telah membuktikan bahwa ancaman siber kini semakin terorganisir dan canggih dalam menargetkan warga sipil yang kritis dan berpengaruh di MENA. Perlu kolaborasi internasional dan penegakan hukum yang lebih kuat untuk menghadang operasi semacam ini.

Pembaca disarankan untuk terus mengikuti perkembangan terbaru terkait keamanan siber dan kampanye pengawasan digital melalui sumber terpercaya agar tidak menjadi korban serangan serupa.