Direktor Programa nacionalne sigurnosti za komparativni odjel Jedinice 42 (Unit 42) Pete Renals  odbio je pripisati kampanju određenoj zemlji, ali je rekao da se napadi ističu zbog svoje rasprostranjenosti.

„Kada pogledamo razmjere kampanje, tvrdimo da je to vjerojatno najrašireniji i najznačajniji kompromitacija globalne vladine infrastrukture od strane državne skupine još od SolarWindsa“, rekao je Renals za Recorded Future News. 

Jedinica 42 pratila je kompromitiranje najmanje 70 institucija u 37 zemalja - pri čemu su hakeri mjesecima održavali pristup pojedinim žrtvama. U jednoj od napadnutih zemalja hakeri su dobili pristup parlamentu i visokom izabranom dužnosniku. 

Grupa je uspješno probila nacionalne telekomunikacijske tvrtke, policijske agencije, odjele za borbu protiv terorizma te mnoga ministarstva i odjele unutarnjih poslova, vanjskih poslova, financija, trgovine, gospodarstva, imigracije, rudarstva, pravosuđa i energetike.

Palo Alto Networksa je navela da, iako je kampanja uglavnom usmjerena na špijunažu i krađu podataka, njezine „metode, ciljevi i opseg operacija su alarmantni, s potencijalnim dugoročnim posljedicama za nacionalnu sigurnost i ključne usluge“.

Renals je usporedio napore s nedavnim kineskim kampanjama poput Volt Typhoon i Salt Typhoon, ali je napomenuo da su oba napora bila usmjerena na specifične industrije unutar određenih zemalja. 

Renals je napomenuo da je nekoliko povreda sustava povezano s incidentima vrijednim vijesti, uključujući kibernetički napad na venezuelansku instituciju nakon američke operacije u kojoj je smijenjen bivši predsjednik Nicolás Maduro.  

Diaoyu

Istraživači Jedinice 42 prvi su put otkrili kampanju kada su istraživali niz phishing napada usmjerenih na europske vlade početkom 2025. godine. Daljnja istraživanja dovela su ih do infrastrukture koja datira iz siječnja 2024. godine.

Tvrtka je utvrdila da je grupa koja stoji iza kampanje sa sjedištem u Aziji zbog regionalnih alata, jezičnih postavki, veza s operativnom infrastrukturom u regiji i aktivnosti koje su bile usklađene s vremenskom zonom ili događajima koji bi bili od interesa za regiju. 

Niz phishing kampanja usmjerenih na europske vlade slijedio je sličan obrazac, a većina je uključivala zlonamjerne e-poruke poslane na vladine adrese. U jednom primjeru, estonski dužnosnik bio je meta e-poruke koja je sadržavala zip datoteku usmjerenu na policiju i graničare. 

Metapodaci pokazuju da je datoteka prethodno nosila naziv diaoyu - kineska riječ za ribolov ili phishing u kontekstu kibernetičke sigurnosti. Zlonamjerni softver izvodi niz radnji koje u konačnici rezultiraju instalacijom Cobalt Strike paketa - koji hakeri obično koriste za ulazak u sustav žrtve.

Uz phishing kampanje, Jedinica 42 otkrila je da su hakeri koristili niz alata, kompleta za iskorištavanje i koda za provjeru koncepta ranjivosti u proizvodima koji se koriste u mnogim regijama. 

Renals je rekao da nisu pronašli nikakav specifičan fokus na softver ili hardver, a hakeri su se prilagođavali onome što je ciljano okruženje koristilo. 

„Popis je bio varijabilan, s gledišta krajnjeg proizvoda, ovisno o tome na koga ciljaju - mogao bi biti više europskog okusa nego afričkog okusa nego azijskog okusa“, rekao je Renals. 

Aktualni događaji

Jedinica 42 uočila je izravne veze između određenih napada i aktualnih događaja. Tijekom zatvaranja američke vlade u listopadu 2025. godine, grupa je preusmjerila skeniranje na organizacije diljem sjevernoameričkih, srednjoameričkih i južnoameričkih zemalja, uključujući Brazil, Kanadu, Dominikansku Republiku, Gvatemalu, Honduras, Jamajku, Meksiko, Panamu te Trinidad i Tobago. 

Hakeri su kompromitirali mrežu bolivijskog rudarskog subjekta povezanog s rijetkim zemnim mineralima - ključno pitanje na nedavnim predsjedničkim izborima u zemlji. Hakeri su također provalili u brazilsko Ministarstvo rudarstva i energetike, koje ima drugu najveću zalihu rijetkih zemnih minerala na svijetu.

Dan nakon što su SAD zarobile venezuelskog predsjednika u Operaciji Apsolutna odlučnost, hakeri su proveli opsežne izviđačke aktivnosti usmjerene na najmanje 140 IP adresa u vlasništvu venezuelske vlade. 

Deseci drugih napada bili su povezani s regionalnim vrućim pitanjima. Hakeri su ugrozili europske vladine agencije u Njemačkoj, Češkoj, Cipru, Grčkoj, kao i zemljama smještenim oko Južnog kineskog mora, uključujući Tajland i Vijetnam. 

Renals je izjavio da su u posljednjih nekoliko tjedana uspješno izbacili aktere iz podskupa pogođenih vladinih mreža. Njihov je cilj pratiti kako će hakeri reagirati i pokušati im ponovno dobiti pristup u budućnosti.