Chinese hackers zitten achter een omvangrijke cyberspionage-operatie gericht tegen Japanse, Indiase en Tibetaanse organisaties. Dat meldt anti-virusbedrijf Trend Micro. Bij de "LuckyCat" campagne kregen de organisaties een e-mail toegestuurd waarin een exploit verstopt zat, voor lekken in Adobe Reader, Adobe Flash Player en Microsoft Office. Was de aanval succesvol, dan werd er een backdoor geïnstalleerd die op instructies van de aanvallers wachtte.

De malware registreerde een script dat als backdoor naar de Windows Management Instrumentation (WMI) fungeerde. Vervolgens verwijderde het bestanden die met het Trojaanse paard geassocieerd werden, waardoor virusscanners de dreiging niet door het scannen van bestanden konden detecteren.

China
Sinds de aanvallen in juni 2011 begonnen infecteerden de aanvallers 233 machines. De getroffen organisaties zijn actief in de luchtvaart, energiesector, engineering, scheepvaart en militair onderzoek, maar ook Tibetaanse activisten waren het doelwit. Voor elke campagne gebruikten de aanvallers een unieke code. Aanvallers die volgens Trend Micro ook bij andere campagnes betrokken zijn.

Het anti-virusbedrijf wist delen van de campagne te traceren naar hackers die vanuit China opereren. Verder bleek dat de aanvallers de Chinese taalinstelling op de computer en Chinese IP-adressen gebruikten. Een aantal van de namen die in verband worden gebracht met tijdens de aanval gebruikte domeinen en e-mailadressen wijzen naar Chinese hackers en studenten.