В марте 2025 года члены ведущей уйгурской организации World Uyghur Congress (WUC), живущие в изгнании, стали жертвами спам-фишинговой атаки, нацеленной на распространение вредоносного программного обеспечения с использованием операционной системы Windows для удаленного наблюдения.
Описание
Атака осуществлялась через троянизированную версию программного обеспечения для обработки текста и проверки орфографии с открытым исходным кодом, разработанного для поддержки уйгурского языка. Этот инструмент был создан доверенным разработчиком, однако его версия содержала вредоносную программу. Активность, связанная с этой атакой, продолжалась с мая 2024 года.
Узнав о взломе своих аккаунтов, члены WUC сообщили об этом журналистам и исследователям из Citizen Lab. Было выявлено, что электронные письма, притворявшиеся сообщениями от доверенных партнеров, содержали ссылки на Google Drive, по которым загружался архив, защищенный паролем. Внутри архива находилась троянская версия текстового редактора на уйгурском языке, которая создавала профиль системы, отправляла данные на удаленный сервер и могла загрузить дополнительные вредоносные плагины.
Эта атака на членов WUC, осуществленная через спам-фишинг, подчеркивает проблему цифровых транснациональных репрессий, с которой сталкиваются уйгуры. Данная атака служит напоминанием о необходимости обеспечения цифровой безопасности, а также о масштабе и постоянстве угроз, связанных с цифровыми методами репрессий.
Индикаторы компрометации
IPv4
- 139.180.130.141
- 149.28.146.29
Domains
- anar.gleeze.com
- tengri.ooguy.com
- wanar.gleeze.com
Emails
SHA256
- 70af9a31d4470502a39d71ca566d604317a5ecbf9181a64379c9ee761e2f95ab
- 94a87dadeaac24bbc26c85d032b86a45cfd131516666e8e5d888f78986d1e993
