Une enquête de plusieurs acteurs de la cybersécurité documente une campagne de « hack-for-hire » menée sur plusieurs années, s’appuyant sur des techniques de phishing pour compromettre des iPhone et des appareils Android. L’objectif, côté Apple, consistait notamment à récupérer des identifiants Apple ID afin d’accéder aux sauvegardes iCloud et, par ricochet, au contenu des iPhone ciblés.
Selon TechCrunch, trois organisations — Access Now, Lookout et SMEX — ont publié des rapports complémentaires sur une campagne visant des journalistes, des militants et des responsables au Moyen-Orient et en Afrique du Nord. Les analyses mentionnent aussi des cibles au Royaume-Uni et, potentiellement, aux États-Unis, ou des anciens élèves d’universités américaines (TechCrunch).
Access Now indique avoir étudié trois incidents survenus entre 2023 et 2025. De son côté, Lookout relie la campagne au groupe BITTER APT, présenté comme « un dérivé de la startup indienne de hack-for-hire Appin ».
Du phishing plutôt que des chaînes d’exploits sophistiquées
Les rapports décrivent une approche moins technique que certaines attaques récentes reposant sur des enchaînements de vulnérabilités. Ici, les opérateurs privilégiaient des pages de connexion contrefaites et des infrastructures web destinées à voler des identifiants.
D’après les éléments cités, lors du ciblage d’utilisateurs d’iPhone, les attaquants tentaient de récupérer les identifiants Apple ID afin d’accéder aux sauvegardes iCloud. Un accès aux sauvegardes pouvait permettre de reconstituer une partie importante des données présentes sur l’appareil.
Près de 1 500 domaines recensés, dont plusieurs imitant Apple
Lookout recense près de 1 500 adresses web destinées à imiter des services légitimes, utilisées pour héberger des pages de phishing et d’autres composants d’infrastructure malveillante. Parmi les domaines cités comme imitant des services Apple figurent notamment :
- facetime-web[.]me-en[.]io
- apple[.]id-us[.]cc
- icloud[.]com-ar[.]me
- icloud[.]com-service[.]info
- signin-apple[.]com-en-uk[.]info
La campagne ne se limitait pas à l’écosystème Apple. Les rapports évoquent aussi des usurpations et des tentatives de compromission visant des services et utilisateurs liés à Google, Microsoft, Signal, WhatsApp et Yahoo, via des techniques variables selon les plateformes.
Un marché en expansion pour les prestataires privés
TechCrunch présente cette affaire comme un indicateur d’une tendance plus large : l’externalisation d’opérations de piratage par des agences gouvernementales auprès d’entreprises privées spécialisées. Justin Albrecht, principal researcher chez Lookout, y souligne l’intérêt pour les clients en matière de « déni plausible » et un coût potentiellement inférieur à l’achat de spyware commercial (TechCrunch).
