Kínai kibertevékenység a szerb kormányzat ellen
A StrikeReady kiberbiztonsági cég 2025. október 3-án közzétett jelentése szerint egy Kínához kapcsolódó kiberszereplő kiberkémkedést hajtott végre többek között egy szerb kormányzati szerv ellen, amely a légiközlekedést felügyeli. A kampány szeptember végén kezdődött, amikor egy szerb kormányhivatalnak adathalász e-maileket küldtek. A StrikeReady hasonló rosszindulatú tevékenységeket azonosított Magyarországon, Belgiumban, Olaszországban és Hollandiában.
Azok az áldozatok, akik rákattintottak a csaló e-mailekben található linkekre, hamis Cloudflare-hitelesítési oldalakra kerültek átirányításra. A kampányban használt csali dokumentumok között voltak olyan fájlok, amelyek látszólag európai kormányzati ügyekkel foglalkoztak, például a szerbiai Nemzeti Közigazgatási Akadémia tanulmányi terve, az Európai Bizottság ülésének napirendje és meghívó az Európai Politikai Közösség csúcstalálkozójára.
A StrikeReady szerint a támadók a Sogu, PlugX és Korplug malware családokat használták – ezeket az eszközöket régóta szinte kizárólag a kínai állam által támogatott hackerek használják. Bár a kampányt nem tulajdonították egy konkrét csoportnak, a kutatók úgy vélik, hogy az azonosítot tevékenységek a Kínával összefüggő kémtevékenységekhez kapcsolódnak. A StrikeReady szerint hasonló eszközöket és taktikákat alkalmaztak más, Kínához kapcsolódó műveletekben is. Augusztusban a Google kutatói felfedeztek egy kémkedési kampányt, amelyet a kínai UNC6384 csoportnak tulajdonítottak, és amely délkelet-ázsiai diplomatákat vett célba a Sogu segítségével, hogy adatokat lopjon és távoli parancsokat hajtson végre.
Az év elején az amerikai hatóságok több ezer fertőzött amerikai számítógépről távolították el a PlugX-et, és azzal vádolták a Mustang Panda csoportot, hogy Peking nevében információkat lopott vele.
Az ne ismert, hogy a StrikeReady által jelentett legutóbbi kampány során milyen információkhoz fértek hozzá a kiberszereplők és hogy a támadók elérték-e céljaikat.