Een hack-for-hire campagne, vermoedelijk uitgevoerd door een dreigingsactor met connecties naar de Indiase overheid, heeft journalisten, activisten en overheidsfunctionarissen in de regio Midden-Oosten en Noord-Afrika (MENA) als doelwit gehad. Dit blijkt uit onderzoek van Access Now, Lookout en SMEX. Onder de slachtoffers bevinden zich prominente Egyptische journalisten en critici van de overheid, Mostafa Al-A'sar en Ahmed Eltantawy, die in oktober 2023 en januari 2024 werden blootgesteld aan gerichte spear-phishing aanvallen. Hierbij werden zij via valse websites misleid om hun Apple- en Google-accounts te compromitteren door inloggegevens en tweefactorauthenticatiecodes in te voeren.

De aanvallen vonden plaats tussen 2023 en 2024 en richtten zich specifiek op bekende critici van de Egyptische regering, waarvan er een eerder slachtoffer was van spyware. Ook een anonieme Libanese journalist werd in mei 2025 benaderd via phishingberichten op Apple Messages en WhatsApp, met kwaadaardige links die gebruikers verleidden hun accountgegevens in te voeren onder het mom van een Apple-verificatie. De campagne gebruikte persistent phishing via iMessage en WhatsApp, waarbij Apple Support werd geïmiteerd. Daarnaast zijn ook andere berichtenplatformen zoals Telegram en Signal mogelijk doelwit geweest.

In een van de gevallen begon de aanval met een LinkedIn-bericht van een nepaccount die de journalist een baan aanbood. Na het delen van contactgegevens volgde een e-mail met een link naar een Zoom-vergadering, die via een verkorte URL leidde naar een phishingpagina. Deze maakte misbruik van Google's OAuth 2.0-consent om ongeautoriseerde toegang te verkrijgen tot het Google-account van het slachtoffer via een kwaadaardige webapplicatie. Dit type aanval verschilt van eerdere phishingpogingen doordat het gebruikmaakt van legitieme Google-infrastructuur om vertrouwen te wekken en zo inloggegevens of toestemmingen te verkrijgen.

Verschillende domeinen werden gebruikt om deze phishingcampagnes uit te voeren, waaronder varianten die Apple, Signal, Telegram en andere diensten imiteren. Opvallend is het gebruik van het domein "com-ae[.]net", dat ook werd ingezet in een spywarecampagne gericht op de Verenigde Arabische Emiraten, waarbij spyware zoals ProSpy en ToSpy werd verspreid via misleidende websites die encryptieplug-ins voor Signal nabootsten. Deze spyware kan gevoelige data zoals contacten, sms-berichten, apparaatmetadata en lokale bestanden exfiltreren.