Китайские хакеры атаковали журналистов и активистов через подставные группы

Специалисты пришли к выводу, что обе группы - GLITTER CARP и SEQUIN CARP - действуют в интересах китайского правительства. Примечательно, что атаки велись не напрямую государственными структурами, а через частных подрядчиков, работающих в рамках так называемой системы военно-гражданской интеграции. Эта модель, по оценке экспертов, позволяет Пекину масштабировать репрессивные операции при относительно низких затратах и сохранять формальную отрицаемость.

Первая группировка, GLITTER CARP, с апреля 2025 года организовала широкую фишинговую кампанию. Злоумышленники рассылали письма с вредоносными ссылками, маскируя их под уведомления от известных людей или техкомпаний. Целью было похищение учётных данных для доступа к электронной почте. Жертвами стали десятки активистов уйгурских, тибетских, тайваньских и гонконгских организаций, а также журналисты, освещающие эти темы. Особенностью GLITTER CARP стало массовое использование одних и тех же доменов и IP-адресов для атак на разные группы, что указывает на индустриальный, поточный характер операций.

Вторая группа, SEQUIN CARP, с июня 2025 года сфокусировалась именно на журналистах. Атаки были направлены на участников расследования ICIJ "China Targets". Злоумышленники применяли более сложную социальную инженерию: они создавали убедительные вымышленные личности, вели переписку, кооптировали реальные истории - например, историю побега китайского судебного помощника Бинь Бая. Главной техникой SEQUIN CARP стала атака с использованием OAuth-токенов (протокола авторизации, позволяющего предоставлять доступ к учётной записи без пароля). Жертву убеждали перейти по ссылке и разрешить доступ стороннему приложению к её аккаунту Google, что давало хакерам полный контроль над почтой, календарём и контактами. Полученный таким образом токен оставался действительным даже после смены пароля, обходя многофакторную аутентификацию.

Как отмечают авторы расследования, обе группы допускали характерные операционные ошибки: несоответствие имён отправителей, использование упрощённой китайской письменности на инфраструктурных страницах, а также применение китайских сервисов для отправки push-уведомлений. Эти улики, наряду с совпадением целей с государственными приоритетами КНР, позволили с высокой степенью уверенности приписать атаки китайским властям.

Эксперты подчёркивают, что передача репрессивных функций на аутсорсинг частным компаниям создаёт "рынок" кибератак. Согласно документам, утёкшим из китайской фирмы I-Soon, стоимость сбора данных с министерства экономики Вьетнама составляла около 55 тысяч долларов, а доступ к сайту дорожной полиции - всего 15 тысяч. Такие цены делают масштабное наблюдение и преследование доступным для государства.

Последствия этой деятельности для диаспор и журналистов серьёзны. Постоянный поток фишинговых писем, поддельных уведомлений и попыток кражи данных вынуждает активистов и журналистов тратить значительные ресурсы на цифровую безопасность, а страх перед слежкой ведёт к самоцензуре и подрыву доверия в сообществах. Кроме того, аутсорсинг даёт Пекину возможность отрицать прямое участие в атаках, усложняя привлечение к ответственности.

Исследователи рекомендуют жертвам использовать устойчивые к фишингу методы многофакторной аутентификации, например аппаратные ключи, а также регулярно проверять список приложений, имеющих доступ к учётной записи, и отзывать подозрительные. Особую осторожность следует проявлять при переходе по ссылкам из писем, даже если они выглядят как легитимные запросы от известных сервисов. Представленный отчёт - лишь часть более широкой картины цифрового подавления, которое Китай применяет против своих оппонентов по всему миру.

Domains

• 1drv.one
• accntcntr.com
• accopanel.com
• accountcentar.com
• accpanelcenter.com
• acctune.com
• acespoint.com
• acesportal.com
• akountcenter.com
• akounthub.com
• authinityapp.com
• breachforums.fit
• brighterora.com
• browsernotifications.info
• chinadigitaltime.net
• coincarp.cash
• configalign.com
• configuramgr.com
• controhub.com
• controlprofile.com
• coupangrank.kr
• deeporbiton.com
• dentialvault.com
• entgate.com
• entpoinat.com
• entrnow.com
• entruhub.com
• entryfortify.com
• entrzone.com
• epechtimes0.org
• evtreview.com
• feelitnov.com
• fileprev.com
• fileprev.info
• gearhelix.com
• gitlab-ai.com
• givemethedge.com
• gnews.news
• google-document.com
• guardaccount.com
• guidefixit.com
• hsf898.com
• icjiorg.org
• identhubs.com
• identihive.com
• interfacily.com
• ivycemnp.com
• lgtymp.fit
• lineman.live
• lineme.live
• linkshub.info
• logifycenter.com
• loginnetal.com
• loginshiled.com
• logncenter.com
• logncntr.com
• megaview.click
• memburcenter.com
• mercatdegirona.com
• mlinks.info
• mmbrhub.com
• myacceshub.com
• myidsafety.com
• neuralgiavista.com
• novamecha.com
• oauth2-signal.com
• oauth-api.com
• ocspilots.com
• odsync.cloud
• odsync.live
• odview.live
• oneclickautht.com
• openlabc.com
• passionateboomers.com
• personalsafezone.com
• pornhub-net.com
• profilemgr.com
• profilesetop.com
• profilesetup.com
• profileub.com
• proflcntr.com
• protectehub.com
• redi.ink
• secureagate.com
• setuppanel.com
• sharedrive.cloud
• sharelinks.info
• showthetrick.com
• siginpro.com
• signalgroup.me
• signcenterr.com
• signinacessint.com
• signinacesspoint.com
• signivaullt.com
• signncenter.com
• startentry.com
• syandbly.online
• telegra.live
• touzhele.fun
• useracess.com
• useradjust.com
• userconsola.com
• usercontropanel.com
• usergateaccess.com
• userhubz.com
• userhup.com
• userpanell.com
• userportl.wine
• userpref.com
• useverifcation.com
• usrcntr.com
• usrkonnect.com
• uzrcenter.com
• uzrconect.com
• uzrconnect.com
• verifcredentia.com
• vibshare.me
• voinewz.com
• vonxnews.com
• youtubenet.com

URLs

• peek-fans.s3.dualstack.ap-northeast-2.amazonaws.com/static/AXSxls235link/GoogleCert.html?_=[TARGET NAME]
• s3.dualstacks.us-east-1.amazonaws.com/ifans.online/uploads/GoogleVerify.html?id=[TARGET EMAIL ADDRESS]

Emails

• Amelia_Chavez_Y@pm.me
• Amelia_W_Chavez@proton.me
• caleb.books2001@gmail.com
• mailtocontacticij@gmail.com
• marcelinetropp11@proton.me
• medicinetsailindon2882@proton.me
• nguyennhumygrkh85864@gmail.com
• robert2347kittylikedaniel@proton.me
• taceybrldr2013@proton.me
• theodorramuong609@gmail.com
• vebefax002@gmail.com
• vosskaobegoodpeople1993@proton.me
• wjs7119syruploveprincessj@proton.me