2025年3月に検出された新たなキャンペーンでは、亡命中の世界ウイグル会議(WUC)の上級メンバーが、監視を行うことができるWindowsベースのマルウェアによって標的にされました。
このスピアフィッシングキャンペーンには、ウイグル語の使用をサポートするために開発された正当なオープンソースのワードプロセッシングおよびスペルチェックツールであるUyghurEdit++のトロイの木馬化されたバージョンが使用されました。
「マルウェア自体は特に高度ではありませんでしたが、マルウェアの配信は標的集団に非常にカスタマイズされており、このキャンペーンに関連する活動が少なくとも2024年5月から始まっていることを示す技術的な証拠があります」とCitizen Labは月曜日の報告で述べました。
トロント大学に拠点を置くデジタル権利研究所によると、調査は、標的がGoogleからの通知を受け取り、政府支援の攻撃を受けたことを警告された後に開始されました。これらの警告の一部は2025年3月5日に送信されました。
メールメッセージは、パートナー組織の信頼できる連絡先を装い、クリックするとパスワード保護されたRARアーカイブをダウンロードするGoogleドライブのリンクが含まれていました。
アーカイブ内には、侵害されたWindowsシステムをプロファイルし、その情報を外部サーバー(”tengri.ooguy[.]com”)に送信する毒されたバージョンのUyghurEdit++が含まれていました。C++スパイウェアには、追加の悪意のあるプラグインをダウンロードし、対象の興味のあるターゲットのマシンであることを確認した後にそれらのコンポーネントに対してコマンドを実行する機能も備わっています。
これらの発見は、ウイグル人ディアスポラを標的とした一連の高度にターゲット化された攻撃の最新のものであり、デジタルな国境を越えた抑圧を行うことを目的としています。
攻撃の背後に誰がいるのかは正確にはわかっていませんが、脅威アクターの手法、彼らの「ターゲットコミュニティに対する深い理解」、およびターゲティングは、中国政府と一致していることを示唆しています。
「中国の広範なキャンペーンは、ウイグル人をその民族的アイデンティティと活動に基づいて標的にしています」とCitizen Labは述べました。
「ディアスポラにおけるウイグル人の監視の目的は、彼らの故郷とのつながりと地域の人権状況に関する情報の国境を越えた流れ、ならびに中国政府の新疆における政策に関する世界的な世論への影響を管理することです。」