Un țel, două steaguri

Cum doi rivali, China și India, au ajuns în aceleași servere ale poliției pakistaneze

Între februarie 2024 și aprilie 2026, grupări de spionaj cibernetic legate de China și India au compromis rețelele mai multor organizații de poliție din Pakistan. Toate aceste grupări au vizat în final Poliția din Balochistan, forța de ordine a unei provincii marcate de o insurgență separatistă și de tensiunile regionale atrase de aceasta.

SentinelLABS 9 iulie 2026 feb 2024 – apr 2026 4 organizații 4 clustere C2 14 servere C2

Atribuirea atacurilor se bazează pe evaluarea SentinelLABS și pe sursele secundare citate. Convergența mai multor actori asupra aceleiași categorii de victime reprezintă un semnal de interes documentat.

De ce poliția pakistaneză?

Două puteri regionale cu motive opuse vizează aceleași date. Pentru China, interesul principal este siguranța cetățenilor săi, supuși unor atacuri repetate pe teritoriul pakistanez. Pentru India, miza este monitorizarea unui adversar într-o provincie aflată în centrul rivalității bilaterale.

China: partenerul care refuză să depindă de partener

Relație Partener strategic. CPEC (Coridorul Economic China-Pakistan), proiectul-fanion al inițiativei Belt and Road.
Ce caută Evaluarea independentă a amenințărilor la adresa cetățenilor chinezi din Pakistan.
Fapte fapt Atacuri violente repetate: atentatul de la Aeroportul din Karachi (octombrie 2024) și atacul sinucigaș din nord-vestul Pakistanului (martie 2024). Ambasadorul Chinei a declarat public că situația de securitate este „inacceptabilă”. În ianuarie 2026, cele două țări au convenit să extindă coordonarea antiteroristă.
Interpretare interpretare Acțiunea de spionaj cibernetic reflectă cel mai probabil dorința Beijingului de a evalua independent riscurile de securitate, în loc să se bazeze exclusiv pe măsurile de protecție ale Pakistanului.

India: adversarul care își monitorizează rivalul

Relație Adversar. Rivalitate geopolitică istorică, cu acuzații reciproce privind susținerea transfrontalieră a grupărilor militante.
Ce caută Obținerea de informații despre postura de securitate a Pakistanului în Balochistan, provincie aflată în centrul acestor acuzații.
Fapte fapt Pakistanul acuză India de susținerea Armatei de Eliberare din Balochistan (BLA), pe care o consideră o grupare proxy a New Delhi. India respinge acuzațiile. Nu au fost prezentate dovezi publice în sprijinul acestor afirmații.
Interpretare interpretare Accesul la sistemele poliției din Balochistan i-ar permite Indiei să monitorizeze direct modul în care Pakistanul gestionează securitatea în această regiune sensibilă.

Patru provincii afectate de spionaj cibernetic

Cele mai multe compromiteri au fost identificate la Poliția din Balochistan, însă activitatea C2 a vizat și poliția din Khyber Pakhtunkhwa, pe cea din Islamabad, precum și Punjab Safe Cities Authority.

Balochistan KPK Punjab Islamabad Sindh Legături cu China PlugX · ShadowPad · Cobalt Strike Legături cu India Remcos (TAG-179) Poliția Balochistan Poliția KPK PSCA Punjab
Legături cu China Legături cu India Convergență

26 de luni de activitate C2

Activitatea este analizată în patru clustere, grupate după instrumentele utilizate: PlugX, ShadowPad, Cobalt Strike și Remcos. În intervalul octombrie–noiembrie 2024, trei dintre acestea au acționat simultan împotriva Poliției din Balochistan.

2024-022024-062024-102025-022025-062025-102026-02

Ce sisteme au fost compromise la Poliția Balochistan?

Serverele compromise găzduiau aplicații web dezvoltate în cadrul inițiativei Smart Police Station, un program de modernizare a poliției susținut de Uniunea Europeană. Datele expuse includ cazierul judiciar, amprente biometrice, registre hoteliere, fișe de personal și reclamații depuse de cetățeni.

Portalul public transformat în punct de infectare

Sistemul de Gestionare a Reclamațiilor (CMS) este portalul folosit de cetățeni și de personalul poliției din Balochistan. Atacatorii au plasat în acest sistem fișiere spion deghizate în actualizări ale aplicației, transformând un instrument de digitalizare publică într-un vector de infectare.

cms.balochistanpolice.gov.pk

🔒
Login Poliție

Acces restricționat. Credențiale de tip ps-[district]. Dosare, reclamații, managementul cazurilor.

🔍
Căutare Publică

Acces deschis. Cetățenii verifică stadiul reclamației prin număr de referință și telefon.

Implant detectat

Două variante ale fișierului cms_plugin.exe au fost plasate în directorul /client scripts/:
1. Rust stager: descarcă un payload de pe serverul C2 193.42.25[.]65.
2. AsyncRAT (.NET): deghizat în 360Safe.exe (produs de securitate chinez), conectat la serverul 41.216.188[.]140. Calea PDB D:\\codedome\\... conține termeni în pinyin și mesaje în chineză simplificată, indicând un dezvoltator vorbitor de limba chineză.

✓ Update Complete! Please refresh the page.

Indicatori de compromitere

Adrese IP de comandă și control (C2), hash-uri SHA-1 ale fișierelor și URL-uri utilizate în atacuri. Faceți click pe o valoare pentru a o copia rapid.

Tip Valoare Notă

Bilanț factual și limite

Solid

Interpretare

    Necunoscut

      Surse

      Copiat în clipboard