Érzékeny adatok, hónapokig tartó hozzáférés
A kémeknek sikerült érzékeny információkat letölteniük az áldozatok e‑mail-szervereiről, köztük pénzügyi tárgyalások részleteit, banki adatokat és katonai műveleti jelentéseket. A támadók TGR-STA-1030 néven futnak, és 2025 novemberétől decemberéig legalább 155 kormányzati szervezetet térképeztek fel aktívan szerte Amerikában, Európában, Ázsiában és Afrikában. A németországi kormányzati infrastruktúra kiemelt célpontnak számított, ahol több mint 490 IP-cím ellen irányult adatgyűjtés.
Kifinomult eszközök – új Linux rootkitet is bevetettek
A kémkedő szervezet az ismert Microsoft Exchange, SAP és Atlassian sérülékenységeket, valamint adathalász e-maileket használt a bejutáshoz. 2025 februárjában európai kormányokat célzó adathalász akciók során a kormányzati átszervezésekről szóló levelekben megosztott, rosszindulatú fájlokat küldtek mega.nz-linken keresztül. Ezek között volt egy „DiaoYu.exe” nevű program, amely mindössze öt vírusirtó jelenlétét ellenőrizte, így könnyen átcsúszhatott a védelmi rendszereken.
A vizsgálatok során egy eddig ismeretlen Linux kernel rootkitet, a ShadowGuardot is sikerült azonosítani, amely az eBPF technológiát használva rejti el a folyamatokat, könyvtárakat és fájlokat a kernel szintjén. Emiatt szinte felismerhetetlen a biztonsági megoldások számára.
Geopolitikai eseményekhez igazodó támadások
A csoport rendszeresen igazodott a világpolitika eseményeihez. Az Egyesült Államokban a 2025 októberi kormányzati leállás idején például széles körű pásztázást észleltek a kormányzati infrastruktúrában. Amikor 2025 augusztusában Petr Pavel, Csehország elnöke találkozott a Dalai Lámával, pár héten belül a csoport átfogó adatgyűjtésbe kezdett a cseh hadsereg, rendőrség, parlament, belügyminisztérium, pénzügy- és külügyminisztérium ellen.
Ugyanígy, azt követően, hogy 2026 január elején egy amerikai katonai akció során elfogták Nicolás Maduro venezuelai elnököt, a támadók legalább 140 kormányzati IP-címet vettek célba átfogó adatgyűjtéssel.
Állandó fenyegetés világszerte
Ennek nyomán a TGR-STA-1030 nevű csoport folyamatos fenyegetést jelent a kormányzati és kritikus infrastruktúrák számára szerte a világon. A hatóságok világszerte figyelemmel kísérik, és igyekeznek mielőbb elhárítani a fenyegetéseket, hogy megelőzzék az újabb komoly károkat.
