2025年3月に検出された新しいキャンペーンで、亡命中の世界ウイグル会議(WUC)の上級メンバーが監視を行うことができるWindowsベースのマルウェアによって標的にされました。
このスピアフィッシングキャンペーンでは、ウイグル語の使用をサポートするために開発された正当なオープンソースのワードプロセッシングおよびスペルチェックツールであるUyghurEdit++のトロイの木馬化されたバージョンが使用されました。
「マルウェア自体は特に高度ではありませんでしたが、マルウェアの配信はターゲットとなる人口に非常にカスタマイズされており、このキャンペーンに関連する活動が少なくとも2024年5月から始まったことを示す技術的な証拠があります」とCitizen Labは月曜日の報告で述べました。
トロント大学に拠点を置くデジタル権利研究所によると、ターゲットがGoogleからの通知を受け取り、政府支援の攻撃を受けたことを警告された後、調査が開始されました。これらの警告の一部は2025年3月5日に送信されました。
電子メールメッセージは、パートナー組織の信頼できる連絡先を装い、Googleドライブのリンクを含んでおり、クリックするとパスワードで保護されたRARアーカイブがダウンロードされます。
アーカイブ内には、侵害されたWindowsシステムをプロファイルし、その情報を外部サーバー(”tengri.ooguy[.]com”)に送信する毒されたバージョンのUyghurEdit++が含まれていました。このC++スパイウェアには、追加の悪意のあるプラグインをダウンロードし、それらのコンポーネントに対してコマンドを実行する機能も備わっています。
この発見は、ウイグル人ディアスポラを標的としたデジタルな国境を越えた抑圧を目的とした一連の高度に標的化された攻撃の最新のものです。
攻撃の背後に誰がいるのかは正確にはわかっていませんが、脅威アクターの手法、彼らの「ターゲットコミュニティに対する深い理解」、およびターゲティングは、中国政府と一致していることを示唆しています。
「中国の広範なキャンペーンは、ウイグル人をその民族的アイデンティティと活動に基づいて標的にしています」とCitizen Labsは述べました。
「ディアスポラにおけるウイグル人の監視の目的は、彼らの故郷とのつながりと地域の人権状況に関する情報の国境を越えた流れ、ならびに中国国家の新疆における政策に関する世界的な世論への影響を管理することです。」