O operațiune de spionaj cibernetic legată de un stat-națiune asiatic a infiltrat cel puțin 70 de organizații din 37 de țări în ultimul an, conform unei cercetări recente realizate de Palo Alto Networks, fiind descrisă de cercetători ca cea mai amplă campanie atribuită unui singur grup de hackeri guvernamentali de la incidentul SolarWinds din 2020.
Grupul de amenințare, desemnat TGR-STA-1030 de echipa de cercetare Unit 42 a companiei de securitate cibernetică, a reușit să pătrundă în cinci agenții naționale de aplicare a legii și control al frontierelor, trei ministere de finanțe, un parlament național și un oficial ales de rang înalt din altă țară, se arată în raportul publicat miercuri. Atacatorii au vizat în principal organisme guvernamentale care se ocupă de diplomație, comerț, resurse naturale și funcții economice.
Victimele identificate acoperă patru continente
Printre entitățile compromise identificate în raport se numără Ministerul Minelor și Energiei din Brazilia, parlamentul și armata Republicii Cehe, un oficial al guvernului indonezian și un furnizor taiwanez de echipamente electrice. Țările afectate se întind pe continentele americane, Europa, Asia și Africa, incluzând Bolivia, Mexic, Panama, Cipru, Malaysia, Republica Congo, Djibouti și Zambia.
Peter Renals, cercetător principal în domeniul securității la Unit 42 threat intelligence, a declarat pentru Axios că agențiile guvernamentale și infrastructura critică din Statele Unite și Regatul Unit nu au fost afectate de această campanie.
„Ei țintesc efectiv, colectează informații și desfășoară activități de spionaj fără a depăși linia spre o supraveghere excesivă”, a spus Renals.
Recunoașterea infrastructurii din 155 de țări semnalează ambițiile mai ample ale grupului
Raportul dezvăluie, de asemenea, că între noiembrie și decembrie 2025, grupul a efectuat scanări extinse pentru identificarea vulnerabilităților în infrastructura din 155 de țări, sugerând pregătiri pentru atacuri viitoare. Cercetătorii au observat că, odată ce atacatorii au obținut accesul inițial, aceștia au exploatat punctul de intrare pentru a se deplasa lateral în cadrul sistemelor și pentru a stabili un acces persistent la rețea pe parcursul timpului.
Palo Alto Networks a identificat, de asemenea, un rootkit pentru kernel-ul Linux nedocumentat anterior, care le permite atacatorilor să ascundă procese și fișiere la nivelul kernel-ului, complicând semnificativ eforturile de detectare.
Atacurile par sincronizate cu evenimente geopolitice
Momentul încălcărilor indică o concentrare pe intelligence economic, în special privind mineritul, materialele de pământuri rare, politicile comerciale și relațiile diplomatice, conform cercetătorilor de la Unit 42. Grupul părea să urmărească îndeaproape evoluțiile geopolitice: la scurt timp după ce au apărut rapoarte că China inițiase o investigație comercială asupra planurilor tarifare ale Mexicului, cercetătorii au detectat trafic malițios care viza două ministere mexicane.
Cu o lună înainte de alegerile naționale din 2025 din Honduras, hackerii au vizat infrastructura guvernamentală din acea țară, unde ambii candidați la președinție își exprimaseră interesul de a restabili legăturile diplomatice cu Taiwan. După ce președintele ceh Petr Pavel s-a întâlnit cu Dalai Lama, atacatorii au sondat infrastructura cehă asociată cu armata, poliția, parlamentul și mai multe ministere.
Palo Alto Networks nu a atribuit direct atacurile vreunei națiuni specifice, dar a caracterizat operațiunea ca fiind condusă de „un grup afiliat unui stat, care operează din Asia”. Compania a menționat că interesele strategice și selecția țintelor seamănă cu atacuri anterioare atribuite guvernului chinez.
Compania a declarat că a colaborat cu cele 37 de națiuni afectate și cu partenerii din industrie, avertizând că grupul rămâne operațional.
Surse:
https://www.axios.com/2026/02/05/cyberespionage-government-hacking-campaign-palo-alto-networks