Cyberprzestępcy powiązani z Chinami działają coraz intensywniej, na ich celowniku znajdują się głównie rządy i branża transportowa, a w ostatnim czasie odnotowano także ataki na europejską dyplomację – wynika z opublikowanego przez ESET Research raportu, podsumowującego okres od kwietnia do września 2024 pod względem aktywności grup APT, odpowiedzialnych za zaawansowane ataki na konkretne cele (ang. Advanced Persistent Threats).
Grupom powiązanym z Chinami można przypisać aż 40 procent ataków APT jakie miały miejsce w Q2 i Q3 2024 roku. Czyni to z nich najliczniejszą grupę cyberprzestępców, zaangażowanych w zaawansowane akcje tego typu. Ich aktywność wzrosła w porównaniu z poprzednim półroczem niemal dwukrotnie.
– Skala działania cyberprzestępców zrzeszonych w grupach APT jest ogromna, Planując swoje ataki, koncentrują się w szczególności na podmiotach rządowych, sektorze obronnym i strategicznych branżach. Jednym z ich głównych założeń jest szeroko pojęte szpiegostwo gospodarcze, polityczne jak również sianie dezinformacji i paniki. – mówi Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.
W drugim i trzecim kwartale 2024 roku badacze ESET Research zaobserwowali m.in. znaczną intensyfikację ataków przeprowadzanych przez powiązaną z Chinami grupę MirrorFace. Zwykle koncentrująca się na podmiotach japońskich, po raz pierwszy wzięła na celownik także m.in. organizację dyplomatyczną w Unii Europejskiej. Jako przynętę wykorzystano zbliżającą się wystawę World Expo, która odbędzie się w 2025 roku w Osace w Japonii. W wiarygodnie wyglądającej wiadomości e-mail znalazł się link do archiwum ZIP, a w nim plik podszywający się pod dokument Word, który służył w istocie do instalacji na komputerach ofiar złośliwego oprogramowania.
Grupa MirrorFace kontynuowała też kampanię dotykającą branżę transportową, którą rozpoczęła na początku 2024 roku. Jest ona wymierzona w cele zlokalizowane już nie tylko w Europie, ale także na Bliskim Wschodzie i w Azji. Schemat działania niemal za każdym razem pozostaje ten sam: grupa korzysta ze złośliwego oprogramowania o nazwie Korplug, który jest instalowany głównie za pośrednictwem nośników wymiennych. Inne techniki, po jakie sięgają powiązani z Chinami cyberprzestępcy, aby uzyskać dostęp do systemów ofiar, to wykorzystywanie podatności w publicznie dostępnych aplikacjach internetowych i spearphishing (a więc mocno dopracowane, socjotechniczne metody manipulacji i wyłudzania informacji od konkretnych osób).