Theo Palo Alto Networks, nhóm tin tặc này được theo dõi dưới mã TGR-STA-1030 và có nhiều dấu hiệu cho thấy hoạt động từ châu Á, phù hợp với múi giờ GMT+8.
Dù không nêu đích danh quốc gia đứng sau chiến dịch, các nhà nghiên cứu nhận định dấu vết kỹ thuật và mục tiêu tấn công cho thấy nhóm này có hồ sơ tương đồng với các tác nhân mạng liên quan Trung Quốc.
Kết quả điều tra cho thấy ít nhất 70 tổ chức tại 37 nước đã bị xâm nhập, trong khi hoạt động trinh sát mạng của nhóm này hướng tới hạ tầng chính phủ tại 155 quốc gia. Các mục tiêu gồm cơ quan thực thi pháp luật, kiểm soát biên giới, bộ tài chính, các đơn vị phụ trách thương mại, tài nguyên và ngoại giao.
Palo Alto Networks cho biết nhóm này thậm chí đã xâm nhập nghị viện của một quốc gia và tài khoản của một quan chức cấp cao ở nước khác.
Nhóm tin tặc chủ yếu sử dụng thư điện tử lừa đảo để phát tán mã độc, đồng thời khai thác nhiều lỗ hổng đã biết trong các sản phẩm của Microsoft, SAP, Atlassian, D-Link và một số nhà cung cấp Trung Quốc.
Đáng chú ý, chúng sử dụng một rootkit nhân Linux mới có tên ShadowGuard, cho phép ẩn hoạt động và chỉnh sửa dữ liệu hệ thống mà không bị phát hiện.
Palo Alto Networks cảnh báo quy mô và phương thức của chiến dịch này có thể gây hậu quả lâu dài đối với an ninh quốc gia và các dịch vụ thiết yếu của nhiều nước.
