思科的威胁情报部门塔洛斯周一表示,一份恶意文件被以邮件的形式寄送给了藏人行政中央的邮件订阅户。藏人行政中央代表西藏流亡政府。研究人员说,这起网络间谍活动针对的是支持西藏流亡政府的个人。
塔洛斯的研究人员说,一份名为“西藏从来就不是中国的一部分”的PowerPoint文件被发给了藏人行政中央所管理的“西藏新闻”的邮件订阅户。这份文件包含远程访问木马,能够窃取系统和个人信息,终止或启动程序,检测和窃取文件。网络袭击者还改变了“西藏新闻”邮件列表的“回复”功能,使得回复邮件直接进入到一个由他们所控制的邮箱地址,他们还注册了一个相似的域名以帮助他们的钓鱼活动。
塔洛斯在周一发表的一篇博客文章中说:“不幸的是,这只是民族国家行为者出于政治原因对平民采取间谍活动的持续趋势的一部分。”他们没有将这起网络间谍活动归咎于某个特定的国家。自2016年以来,流亡藏人一直是一系列恶意软件攻击的目标。
研究人员指出,这次网络间谍活动相关的一个服务器也同此前一个名为LuckyCat的木马相连。LuckyCat被认为是亲中的网络黑客用来获取西藏活动人士信息的木马。