Check Point Research (CPR) har upptäckt ett pågående kinesiskt cyberspionage riktat mot det ryska försvarsforskningsinstitutet.
Genom att skicka nätfiske-mejl under täckmantel av det ryska hälsoministeriet försöker hackergruppen samla in känslig information.
I de meddelanden som CPR har lyckats fånga fanns skadliga dokument som använde västerländska sanktioner mot Ryssland som lockbete. Aktörerna kunde undvika att bli upptäckta i nästan 11 månader genom en ny okänd metod som CPR nu för första gången har kunnat ge en detaljerad förklaring på.
CPR identifierade tre mål inom försvarsforskningsindustrin, två i Ryssland och ett i Belarus. De ryska offren är ett holdingbolag inom det ryska statligt ägda försvarskonglomeratet Rostec Corporation som utvecklar och tillverkar elektroniska krigsföringssystem och militärt specialiserad radioteknik. Aktörerna har skickat nätfiske-mejl som utnyttjar västerländska sanktioner mot Ryssland som ett lockbete. När offret öppnar dokumentet laddas en skadlig programvara ner på datorn och samlar in information från maskinen.
Det är en bakdörr som kallas Spinner som laddas ner och operationen har döpts till Twisted Panda av CPR efter kopplingarna till Kina.
– Vi har avslöjat en pågående spionageoperation mot det ryska försvarsforskningsinstitut som utförs av erfarna och sofistikerade kinesiska aktörer, säger Itay Cohen, Head of Research på Check Point Software Technologies. Vår utredning visar att detta är en del av en större operation som har pågått mot enheter relaterade till Ryssland i ungefär ett år. Den kanske mest sofistikerade delen av kampanjen är mängden av social engineering.
-Tidpunkten för attackerna och de lockbeten som används är smarta och ur ett rent tekniskt perspektiv är kvaliteten på verktygen över genomsnittet, även för APT-grupper. Jag tror att våra resultat tjänar som ytterligare bevis på att spionage är en systematisk och långsiktig ansträngning från Kina för att uppnå sina strategiska mål om att uppnå teknisk överlägsenhet.