中国政府と関連のあるフリーランスハッカーが、9カ月間にわたってジャーナリストと野党活動家を狙い、100以上の悪意のあるドメインを利用した2つの大規模なフィッシングキャンペーンを主導したことが、新しい研究で明らかになりました。
チベット、台湾、香港、中国のウイグル地域からの離散民族コミュニティの数十人のジャーナリスト、多数の活動家、その他の市民社会メンバーが狙われたと、月曜日にデジタルフォレンジック研究機関シチズン・ラボが発表したレポートに記載されています。
国際調査ジャーナリスト・コンソーシアム(ICIJ)と協力して実施された調査では、キャンペーンの目的は認証情報を盗み、「中国政府の利益のための後続作戦」を可能にする可能性があることが判明したと、報告書は述べています。
ウイグル系カナダ人活動家メフメト・トゥーティがシチズン・ラボに疑わしい接触を報告した後、2025年4月に調査が開始されました。
トゥーティは、著名なウイグル系映画製作者からのものと称するWhatsAppメッセージを受け取りました。そのメッセージは、ドキュメンタリー映画のプレビューを送るために個人的なメールアドレスを共有してくれるかどうかを尋ねていました。
その活動家がメール内のリンクをクリックすると、Googleの認証情報を要求するウェブページに誘導されました。彼は認証情報を提供しませんでした。
その後、彼は疑わしいログインについて通知するGoogleのセキュリティアラートになりすましたメールを受け取りました。そのメールは完全に中国語で書かれていました。この時点で、トゥーティはシチズン・ラボに連絡しました。シチズン・ラボの研究者たちは、2つの別々のフィッシングおよびデジタル詐欺キャンペーンが中国政府と関連のあるハッカーによって主導された可能性があることを明らかにしました。
シチズン・ラボは、ジャーナリストと活動家を対象とした2つの異なるキャンペーンの最初のものを「グリッター・カープ」と名付けました。このキャンペーンには、ICIJのメンバーを狙い、なりすましたハッカーが関わっていました。
もう一つのキャンペーン「シークイン・カープ」は、主にICIJのジャーナリストであるスキラ・アレッチと、中国政府が関心を持つ話を報道する他の記者を対象としたと、報告書は述べています。
低コストの標的化
報告書によると、フリーランスハッカーによるICIJメンバーと活動家の標的化は、中国が独立した請負業者に非常に低いコストでデジタル越境抑圧キャンペーンを主導させる方法の最新の例に過ぎません。
「この産業化されたモデルがデジタル越境抑圧に対して脆弱なコミュニティに与える影響は重大です」と報告書は述べています。「攻撃的なサイバー能力がこのような低価格で調達できる場合、海外の離散民族コミュニティを対象とするコストは大幅に低下します。」
独立した請負業者の利用はまた、中国に「もっともらしい否定の層」を与えると、報告書は述べています。
多くの類似点があるにもかかわらず、2つのキャンペーンの戦術は重大な方法で異なります。
グリッター・カープは「絶え間なく、広い範囲にわたり、時には対象グループとのみ周辺的なつながりを持つ個人を選択する」フィッシング攻撃を実施していると、報告書は述べています。
「この作戦方式は、かなりのリソースを持つアクター、発見や結果への恐れに制約されることなく、隠蔽よりも影響を明確に優先している者を反映しています。」
Proofpointは別途、グリッター・カープの背後にあるグループが台湾の半導体産業を対象としたことを示す証拠を発見しました。
シークイン・カープもフィッシング攻撃を使用しますが、主に実在の人物になりすましている精巧なペルソナを使用してジャーナリストを対象としています。シークイン・カープの背後にあるグループは社会工学に多くの時間を費やしていますが、粗悪な作戦戦術を使用し、「初期の試みが複雑さに直面した場合、異なる攻撃ベクトルに転換できない」ことを示したと、報告書は述べています。
トゥーティは、ウイグル人権擁護プロジェクトの執行理事としての仕事の結果として、長い間北京のレーダーに載っていたと述べています。彼は定期的にそこの警察から脅迫的な電話を受け取っています。彼はまた、疑わしい物理的監視の事例をカナダ当局に報告しています。
用心深い姿勢にもかかわらず、トゥーティはインタビューで、展開された社会工学戦術が非常に高度であったため、最初はキャンペーンに騙されたと述べました。
彼は現在、毎月1回、すべてのデバイスを侵入の兆候についてチェックしていると、彼は述べました。
デバイスの交換に加えて、トゥーティは、攻撃により他の提唱者が彼の組織との仕事から身を引くようになったと述べました。彼らは自分たちも標的にされるかもしれないという恐れからです。
「自動的な検閲と自動的な恐怖がそれに伴い、そのため、それは本当に私たちの通信安全性と、人、個人、組織としての信頼と信用を損なわせます」と、彼は述べました。
翻訳元: https://therecord.media/china-linked-hackers-led-phishing-campaigns-journalists
