В марте 2025 года исследовательская организация Citizen Lab при Университете Торонто обнаружила масштабную кибератаку, нацеленную на высокопоставленных членов Всемирного уйгурского конгресса (ВУК), проживающих в изгнании. Исследование показало, что вредоносная кампания началась как минимум в мае 2024 года и использовала изощренную тактику для проникновения в компьютерные системы жертв.
Хакеры применили метод целенаправленного фишинга, отправляя электронные письма, имитирующие сообщения от доверенных контактов из партнерских организаций. В этих письмах содержались ссылки на Google Drive, ведущие к защищенным паролем RAR-архивам. Внутри архивов находилась троянизированная версия "UyghurEdit++" — легитимного инструмента редактирования текстов на уйгурском языке с открытым исходным кодом.
Вредоносное ПО, написанное на C++, обладало широким спектром возможностей для слежки. После заражения компьютера под управлением Windows оно проводило профилирование системы, похищало данные и отправляло их на внешний сервер "tengri.ooguy[.]com". Кроме того, малварь могла загружать дополнительные вредоносные плагины и выполнять команды, направленные на эти компоненты.
Расследование началось после того, как некоторые из целей атаки получили уведомления от Google о возможных атаках, поддерживаемых правительством. Часть этих уведомлений была отправлена 5 марта 2025 года, что позволило специалистам Citizen Lab выявить и проанализировать вредоносную кампанию.
Хотя конкретный злоумышленник не был однозначно идентифицирован, имеющиеся доказательства указывают на связь с интересами китайского правительства. Об этом свидетельствуют используемые технические приемы, глубокое понимание целевого сообщества и выбор жертв. Эксперты считают, что эта операция является частью более широкой схемы транснациональных цифровых репрессий против уйгурской диаспоры.
Мотивация атакующих вписывается в стратегию контроля над связями между уйгурами в диаспоре и их родиной. Основные цели включают ограничение трансграничного информационного потока о ситуации с правами человека в Синьцзяне и минимизацию влияния на мировое общественное мнение относительно китайской политики в этом регионе.
Особенно тревожным аспектом этой кампании является использование троянизированной версии инструмента для работы с уйгурским языком. Такой подход демонстрирует, как злоумышленники эксплуатируют культурную и языковую специфику для проведения целенаправленных атак против уязвимых сообществ.
Данный случай подчеркивает растущую тенденцию использования сложных кибератак для преследования политических диссидентов и активистов за пределами национальных границ. Для уйгурской диаспоры, которая уже сталкивается с значительным давлением, эти цифровые угрозы представляют дополнительный уровень риска и усиливают атмосферу страха и недоверия.
Изображение носит иллюстративный характер
Хакеры применили метод целенаправленного фишинга, отправляя электронные письма, имитирующие сообщения от доверенных контактов из партнерских организаций. В этих письмах содержались ссылки на Google Drive, ведущие к защищенным паролем RAR-архивам. Внутри архивов находилась троянизированная версия "UyghurEdit++" — легитимного инструмента редактирования текстов на уйгурском языке с открытым исходным кодом.
Вредоносное ПО, написанное на C++, обладало широким спектром возможностей для слежки. После заражения компьютера под управлением Windows оно проводило профилирование системы, похищало данные и отправляло их на внешний сервер "tengri.ooguy[.]com". Кроме того, малварь могла загружать дополнительные вредоносные плагины и выполнять команды, направленные на эти компоненты.
Расследование началось после того, как некоторые из целей атаки получили уведомления от Google о возможных атаках, поддерживаемых правительством. Часть этих уведомлений была отправлена 5 марта 2025 года, что позволило специалистам Citizen Lab выявить и проанализировать вредоносную кампанию.
Хотя конкретный злоумышленник не был однозначно идентифицирован, имеющиеся доказательства указывают на связь с интересами китайского правительства. Об этом свидетельствуют используемые технические приемы, глубокое понимание целевого сообщества и выбор жертв. Эксперты считают, что эта операция является частью более широкой схемы транснациональных цифровых репрессий против уйгурской диаспоры.
Мотивация атакующих вписывается в стратегию контроля над связями между уйгурами в диаспоре и их родиной. Основные цели включают ограничение трансграничного информационного потока о ситуации с правами человека в Синьцзяне и минимизацию влияния на мировое общественное мнение относительно китайской политики в этом регионе.
Особенно тревожным аспектом этой кампании является использование троянизированной версии инструмента для работы с уйгурским языком. Такой подход демонстрирует, как злоумышленники эксплуатируют культурную и языковую специфику для проведения целенаправленных атак против уязвимых сообществ.
Данный случай подчеркивает растущую тенденцию использования сложных кибератак для преследования политических диссидентов и активистов за пределами национальных границ. Для уйгурской диаспоры, которая уже сталкивается с значительным давлением, эти цифровые угрозы представляют дополнительный уровень риска и усиливают атмосферу страха и недоверия.
