В целом, это легко осуществимо не только для спецслужб, но и для мелких и средних представителей киберпреступного мира.
Подавляющее большинство хакерских атак основаны на технически не изощренных, но действенных для неподготовленного пользователя способах злоупотребления его доверием. Фотографии (или любой другой материал) могут быть подброшены при помощи обыкновенного e-mail сообщения, сконструированного достаточно убедительно для того, чтобы жертва самостоятельно открыла вредоносное приложение. Функция такого приложения может варьироваться от однократного вредоносного действия (например, подброса файлов) до долговременного сбора паролей и пин-кодов, или даже до полной передачи компьютера под контроль хакеров. Кроме использования технических средств, возможен и social engineering - например, телефонный звонок "от провайдера" с просьбой сообщить пароль или предпринять какие-либо действия на своем компьютере; просьба от знакомого (или малознакомого) человека на время воспользоваться компьютером; передача флешки или другого носителя с якобы "ценной информацией" и т.д.
Все перечисленные способы вполне доступны обычным киберпреступникам, не обязательно состоящим на службе у государства. Арсенал хакерской "элиты", как и спецслужб, конечно, гораздо более разнообразен - он подробно рассматривается в многочисленных учебниках по информационной безопасности и специальной литературе.
Если им будет нужно, они очень легко это сделают. Почему, объяснили ребята выше, просто присоединюсь. От себя добавлю, что даже человек без подготовки, но хитрый и умеющий гуглить, справится с этой задачей.