Az ázsiai kémek világszerte feltörték a kormányzati rendszereket

Az ázsiai államhoz köthető kiberkémkedő csoport csendben kompromittálta több mint 37 ország kormányzati rendszereit és kritikus infrastruktúráit, és több mint 70 szervezetbe jutott be sikeresen. Több áldozathoz hónapokon keresztül folyamatos hozzáférésük volt. Emiatt komoly veszélyt jelentenek a nemzetbiztonságra és számos kulcsfontosságú szolgáltató működésére. Az áldozatok között öt nemzeti rendőrség vagy határőrség, egy országgyűlés, egy magas rangú politikus, valamint országos telekommunikációs cégek is megtalálhatók. Emellett három pénzügyminisztérium és különféle kormányzati hivatalok is célponttá váltak.

Érzékeny adatok, hónapokig tartó hozzáférés

A kémeknek sikerült érzékeny információkat letölteniük az áldozatok e‑mail-szervereiről, köztük pénzügyi tárgyalások részleteit, banki adatokat és katonai műveleti jelentéseket. A támadók TGR-STA-1030 néven futnak, és 2025 novemberétől decemberéig legalább 155 kormányzati szervezetet térképeztek fel aktívan szerte Amerikában, Európában, Ázsiában és Afrikában. A németországi kormányzati infrastruktúra kiemelt célpontnak számított, ahol több mint 490 IP-cím ellen irányult adatgyűjtés.

Kifinomult eszközök – új Linux rootkitet is bevetettek

A kémkedő szervezet az ismert Microsoft Exchange, SAP és Atlassian sérülékenységeket, valamint adathalász e-maileket használt a bejutáshoz. 2025 februárjában európai kormányokat célzó adathalász akciók során a kormányzati átszervezésekről szóló levelekben megosztott, rosszindulatú fájlokat küldtek mega.nz-linken keresztül. Ezek között volt egy „DiaoYu.exe” nevű program, amely mindössze öt vírusirtó jelenlétét ellenőrizte, így könnyen átcsúszhatott a védelmi rendszereken.

A vizsgálatok során egy eddig ismeretlen Linux kernel rootkitet, a ShadowGuardot is sikerült azonosítani, amely az eBPF technológiát használva rejti el a folyamatokat, könyvtárakat és fájlokat a kernel szintjén. Emiatt szinte felismerhetetlen a biztonsági megoldások számára.

Geopolitikai eseményekhez igazodó támadások

A csoport rendszeresen igazodott a világpolitika eseményeihez. Az Egyesült Államokban a 2025 októberi kormányzati leállás idején például széles körű pásztázást észleltek a kormányzati infrastruktúrában. Amikor 2025 augusztusában Petr Pavel, Csehország elnöke találkozott a Dalai Lámával, pár héten belül a csoport átfogó adatgyűjtésbe kezdett a cseh hadsereg, rendőrség, parlament, belügyminisztérium, pénzügy- és külügyminisztérium ellen.

Ugyanígy, azt követően, hogy 2026 január elején egy amerikai katonai akció során elfogták Nicolás Maduro venezuelai elnököt, a támadók legalább 140 kormányzati IP-címet vettek célba átfogó adatgyűjtéssel.

Állandó fenyegetés világszerte

Ennek nyomán a TGR-STA-1030 nevű csoport folyamatos fenyegetést jelent a kormányzati és kritikus infrastruktúrák számára szerte a világon. A hatóságok világszerte figyelemmel kísérik, és igyekeznek mielőbb elhárítani a fenyegetéseket, hogy megelőzzék az újabb komoly károkat.

2025, adminboss, go.theregister.com alapján

Share on Social Media