Första gången gruppen Naikon attackerade myndigheter i länder runt Sydkinesiska sjön på jakt efter politisk information var 2015. Samma år försvann sen Naikon från radarn och hittades först nu. Check Point menar att gruppen har varit aktiv de senaste fem åren och utökat sin verksamhet under 2019 och början av 2020. Naikons främsta attackmetod är att infiltrera regeringsorgan och sedan använda interna kontakter, dokument och data för att starta attacker mot andra, samt att utnyttja förtroendet och de diplomatiska förbindelserna mellan avdelningar och regeringar för att öka chansen att lyckas med attackerna.

Verksamheten uppmärksammades när ett skadligt e-postmeddelande med ett infekterat dokument som skickades från en ambassad i regionen till den australiensiska regeringen undersöktes. Dokumentet innehöll en så kallad exploit som infiltrerar användarens dator och försöker ladda ner en sofistikerad skadlig kod som kallas ”Aria-body” från externa webbservrar som används av Naikon. På så sätt kringgår hackergruppen säkerhetsåtgärder och får åtkomst till den infekterande datorn eller nätverket.

– Naikon försökte attackera en av våra kunder genom att utge sig för att vara en utländsk regering. Det var på så sätt de dök upp på vår radar igen efter en femårig frånvaro, och vi beslutade att utreda ytterligare. Våra forskare förstod att Naikon är en mycket hängiven och sofistikerad kinesisk hackergrupp. Det som verkar driva dem är målet att samla in information och spionera på länder, och de har i tysthet tillbringat de senaste fem åren på att utveckla sina färdigheter och introducera ett nytt cybervapen med hjälp av Aria-body, säger Mats Ekdahl, säkerhetsexpert hos Check Point. 

Han menar att de utnyttjar skadlig kod som används av flera hackergrupper för att undvika att upptäckas och gruppen använder också sina offers servrar som kommando- och kontrollcenter.

– Vi har publicerat denna forskning för att varna och ge alla statliga institutioner bättre möjligheter att upptäcka Naikons eller andra hackergruppers aktiviteter, säger Mats Ekdahl.

Naikon riktar sig mot länder i samma geografiska region, inklusive Australien, Indonesien, Filippinerna, Vietnam, Thailand, Myanmar och Brunei. Gruppen riktar specifikt in sig på departement för utrikesfrågor, vetenskap och teknik samt statligt ägda företag. Motivet tros vara insamling av politisk information.