Цeлями кибeршпиoнскoй кaмпaнии являлись китaйскиe прoмышлeнныe и прaвитeльствeнныe учрeждeния.

Китaйскaя ИБ-кoмпaния Qihoo 360 oпубликoвaлa oтчeт, в кoтoрoм связaлa Цeнтрaльнoe рaзвeдывaтeльнoe упрaвлeниe СШA (ЦРУ) с дoлгoсрoчнoй кaмпaниeй пo кибeршпиoнaжу, нaпрaвлeннoй нa китaйскиe промышленные и правительственные организации. По словам исследователей, кампания продолжалась в период с сентября 2008 года по июнь 2019 года, и большинство целей были расположены в Пекине, Гуандуне и Чжэцзяне.

Шпионская кампания была обнаружена в ходе анализа образцов вредоносного ПО и их сравнения с инструментами из арсенала ЦРУ, обнародованными порталом WikiLeaks в 2017 году. Бывший сотрудник ЦРУ Джошуа Адам Шульте (Joshua Adam Schulte) передал секретные документы спецслужбы организации WikiLeaks в 2017 году, которая обнародовала их в рамках проекта Vault 7. Из них стало известно, что ЦРУ использовало уязвимости в программном обеспечении, чтобы подключиться к операционным системам Android и iOS, а также к «умным телевизорам» Samsung.

Согласно Qihoo 360, разработанные ЦРУ инструменты взлома, такие как Fluxwire и Grasshopper, использовались группой APT-C-39 против китайских компаний еще в 2010 году.

По словам специалистов, некоторые инструменты ЦРУ связаны с Агентством национальной безопасности (АНБ). В ходе атаки на крупную интернет-компанию в Китае в 2011 году группировка APT-C-39 использовала плагин WISTFULTOOL, разработанный АНБ.

Анализ дат компиляции вредоносных программ является распространенным методом в исследовании APT-группировок. В ходе изучения дат компиляции полученных образцов специалисты выяснили, что деятельность разработчиков вредоносов совпадает с часовым поясом США.

Также были зафиксированы попытки атаковать энергетический сектор Китая, исследовательские центры, интернет-компании и госорганы. Команда Qihoo 360 считает, что США интересуется авиационной промышленностью в первую очередь из-за возможности отслеживать перемещение «важных лиц».

Источник