Tijdens een groots opgezette cyberspionagecampagne zijn zeker twintig bedrijven via WinRAR-bestanden gehackt. In september werd een incident bij een Taiwanees bedrijf onderzocht. Het bedrijf was betrokken bij een project om de Taiwanese luchtmacht te moderniseren. Hiervoor zouden F-16's van de Verenigde Staten worden gekocht. De aanval op het bedrijf vond 32 uur plaats nadat het voorstel voor de verkoop van de straaljagers bij het Amerikaanse Congres was ingediend.

Verder onderzoek wees uit dat nog veel meer bedrijven via dezelfde aanvalsmethode waren geïnfiltreerd. Het gaat om Amerikaanse technologiebedrijven, immigratieorganisaties en denktanken, Europese voedselveiligheidsorganisaties, marinebedrijven en milieuorganisaties, internationale grondstoffenorganisaties en verschillende andere organisaties.

E-mail
Volgens beveiligingsbedrijf Cyber Squared gebruikten de aanvallers een slecht gemaakte spear phishingmail met een link naar een WinRAR-bestand als aanvalsmethode. Het ging om een zichzelf-uitpakkend archief met daarin de malware. "In dit geval was geen zeer geavanceerde aanval nodig om het doel te bereiken", aldus de beveiliger.

De phishingmails hadden geen nette opening of afsluiting. Toch zouden meer dan 20 topbestuurders bij de organisaties het bestand hebben gedownload en geopend.

China
Wie er achter de aanval zit kan Cyber Squared niet met zekerheid zeggen. Alle slachtoffers houden verband met Chinese strategische belangen. "We zeggen niet dat de Chinese staat de dader is. We zeggen alleen dat er voldoende aanwijzingen zijn om de analytische hypothese te ondersteunen dat China het meest profiteert van de informatie die bij de gehackte entiteiten is gestolen."

Het beveiligingsbedrijf durft wel te beweren dat de aanvaller in naam van een Chinese klant of weldoener opereerde, voor wie de informatie waarde heeft.