Ít nhất 70 tổ chức chính phủ và hạ tầng trọng yếu đã trở thành mục tiêu trong chiến dịch xâm nhập kéo dài một năm của một nhóm gián điệp mạng châu Á. Palo Alto Networks nhận định đây là nhóm tấn công có động cơ nhà nước, sử dụng các kỹ thuật tinh vi để nhắm vào các cơ quan đầu não về chính trị và hạ tầng kỹ thuật.
Theo báo cáo của Palo Alto Networks Unit 42, nhóm này còn tiến hành do thám quy mô lớn nhắm tới hạ tầng chính phủ của 155 quốc gia chỉ trong giai đoạn cuối năm 2025. Các mục tiêu gồm cơ quan thực thi pháp luật, kiểm soát biên giới, bộ tài chính, các đơn vị phụ trách thương mại, tài nguyên và ngoại giao.
Theo Palo Alto Networks, nhóm tin tặc này được theo dõi dưới mã TGR-STA-1030 và có nhiều dấu hiệu cho thấy hoạt động từ châu Á, các nhà nghiên cứu nhận định dấu vết kỹ thuật và mục tiêu tấn công cho thấy nhóm này có hồ sơ tương đồng với các tác nhân mạng liên quan Trung Quốc.
Kết quả điều tra cho thấy ít nhất 70 tổ chức tại 37 nước đã bị xâm nhập, trong khi hoạt động trinh sát mạng của nhóm này hướng tới hạ tầng chính phủ tại 155 quốc gia. Palo Alto Networks cho biết nhóm này thậm chí đã xâm nhập nghị viện của một quốc gia và tài khoản của một quan chức cấp cao ở nước khác.
Chuỗi tấn công thường bắt đầu bằng email lừa đảo, dụ người dùng tải về tệp độc hại ngụy trang dưới dạng tệp nén từ dịch vụ lưu trữ trực tuyến. Mã độc được thiết kế tinh vi để né tránh các hệ thống phân tích tự động và chỉ kích hoạt khi thỏa mãn một số điều kiện môi trường, sau đó kiểm tra sự hiện diện của phần mềm bảo mật trước khi tiếp tục hành vi tấn công.
Nhóm này tận dụng nhiều lỗ hổng đã được công bố trong các sản phẩm phổ biến của Microsoft, SAP, Atlassian và một số nhà cung cấp khác để xâm nhập hệ thống.
Đáng chú ý, chúng sử dụng một rootkit nhân Linux mới có tên ShadowGuard, cho phép ẩn hoạt động và chỉnh sửa dữ liệu hệ thống mà không bị phát hiện. Palo Alto Networks cảnh báo quy mô và phương thức của chiến dịch này có thể gây hậu quả lâu dài đối với an ninh quốc gia và các dịch vụ thiết yếu của nhiều nước.
