Un gruppo di minaccia sospettato di essere pro-Houthi ha preso di mira almeno tre organizzazioni umanitarie in Yemen con spyware Android progettati per raccogliere informazioni sensibili. Questi attacchi sono attribuiti a un cluster di attività codificato come OilAlpha, che comprende una nuova serie di app mobili dannose con una propria infrastruttura di supporto, come riportato dal gruppo Insikt di Recorded Future.
Le organizzazioni colpite da questa campagna includono CARE International, il Norwegian Refugee Council (NRC) e il Saudi Arabian King Salman Humanitarian Aid and Relief Centre. Secondo la società di cybersecurity, il gruppo OilAlpha è altamente probabile che sia attivo e stia eseguendo attività mirate contro organizzazioni umanitarie e per i diritti umani operanti in Yemen e, potenzialmente, in tutto il Medio Oriente.
OilAlpha è stato documentato per la prima volta nel maggio 2023 in connessione con una campagna di spionaggio che prendeva di mira organizzazioni di sviluppo, umanitarie, media e non governative nella penisola arabica. Questi attacchi utilizzavano WhatsApp per distribuire file APK Android dannosi facendoli passare per associati a organizzazioni legittime come UNICEF, portando infine al dispiegamento di un ceppo di malware chiamato SpyNote (alias SpyMax).
L'ultima ondata, identificata all'inizio di giugno 2024, comprende app che pretendono di essere correlate a programmi di soccorso umanitario e si spacciano per entità come CARE International e il NRC, entrambe con una presenza attiva in Yemen. Una volta installate, queste app - che ospitano il trojan SpyMax - richiedono permessi intrusivi, facilitando così il furto di dati delle vittime.
Le operazioni di OilAlpha includono anche una componente di raccolta di credenziali che utilizza una serie di false pagine di login che imitano queste organizzazioni nel tentativo di raccogliere informazioni di accesso degli utenti. Si sospetta che l'obiettivo sia di condurre sforzi di spionaggio accedendo agli account associati alle organizzazioni colpite. Secondo Recorded Future, i militanti Houthi hanno continuamente cercato di limitare il movimento e la consegna di aiuti umanitari internazionali e hanno tratto profitto tassando e rivendendo i materiali di aiuto. Una possibile spiegazione per il targeting cibernetico osservato è che si tratta di raccolta di informazioni per facilitare gli sforzi di controllo su chi riceve aiuti e come vengono consegnati.
Questo sviluppo arriva alcune settimane dopo che Lookout ha implicato un attore di minaccia allineato con gli Houthi in un'altra operazione di sorveglianza che consegna uno strumento di raccolta dati Android chiamato GuardZoo a obiettivi in Yemen e in altri paesi del Medio Oriente.