Primární motivací čínských skupin Volt Typhoon a Camaro Dragon jsou krádeže strategických zpravodajských informací a upevňování pozice pro případné další operace. Hackeři při nejnovějším útoku na evropské politické subjekty použili techniku zvanou HTML Smuggling, při které je hrozba ukryta v HTML dokumentech.
Cíle kampaně PlugX. | Zdroj: TZ Check Point
Útoky probíhají minimálně od prosince 2022 a jedná se pravděpodobně o další pokračování dříve odhalených útoků skupiny RedDelta, do jisté míry i skupiny Mustang Panda. Počítače obětí jsou infikovány novou variantou malwaru PlugX, který je často spojován právě s útoky čínských hackerů. Hlavní rozdíl je ve vylepšených maskovacích schopnostech, proto kampaň nebyla tak dlouho odhalena. PlugX může využívat různé plug-iny s novými funkcemi a v napadených systémech provádět řadu škodlivých činností, včetně krádeží souborů, snímání obrazovky, sledování stisknutých kláves a spouštění příkazů.
Jako návnady byly použity dokumenty zaměřené na evropské vládní subjekty spojené s domácí a zahraniční politikou. Terčem byly zejména Česká republika, Slovensko, Maďarsko, Velká Británie a Ukrajina. Většina dokumentů obsahovala diplomatický obsah, v některých případech se obsah týkal přímo Číny a lidských práv v Číně. I názvy souborů naznačují, že oběťmi měli být diplomaté a státní úředníci.
Zdroj: Check Point
