I tre år har Palo Alto Networks observerat och kartlagt en rad intrång som skett i Sydostasien. Intrången verkar ha som mål att kunna spåra offren och att samla information om dem från deras datorer och mobiler. Innehållet i en del av den skadliga programvaran som använts såväl som spår som leder till infrastruktur som är kända sedan tidigare visar tydligt att det är aktörer inom den kinesiska staten som ligger bakom attackerna.

Intrången har skett med hjälp av en mix av publikt tillgängliga och specialanpassade typer av skadlig programvara. Palo Alto Networks kallar gruppen eller grupperna bakom attackerna för “PKPLUG”. Palo Alto Networks kan än så länge inte säga om det ligger en enda grupp bakom intrången eller om det handlar om flera grupper som använder samma metoder och har samma mål. Research har dessutom visat att det finns liknande attacker som dokumenterats av andra redan för sex år sedan.

Det är inte helt klarlagt vad som är målet med attackerna, men att installera en bakdörr i offrens datorer och mobiler har sannolikt att göra med att spåra offren och att samla information om dem. Offren för attackerna finns framför allt i Myanmar, Taiwan, Vietnam och Indonesien. En del har funnits i Tibet, Xinjiang och Mongoliet. Detta är länder och regioner där Kina har starka intressen.

Intrången sker på flera sätt, och en vanlig metod är genom så kallad spearphishing, vilket innebär att personligt utformade e-postmeddelanden skickas till specifika personer, som ska luras att klicka på en länk eller öppna en bilaga. Även falska mobilappar har använts.

Palo Alto Networks researchavdelning Unit 42 menar att intrången främst skett med PlugX, en sedan tidigare känd skadlig programvara. De har även upptäckt ytterligare typer av skadlig programvara som har specialanpassats för uppgiften. De rör sig bland annat om HenBox, en Android-app, och Farseer, en bakdörr i Windows, samt trojanen 9002. Dessutom har publikt tillgänglig skadlig programvara som Poison Ivy och Zupdax använts.