Cum doi rivali, China și India, au ajuns în aceleași servere ale poliției pakistaneze
Între februarie 2024 și aprilie 2026, grupări de spionaj cibernetic legate de China și India au compromis rețelele mai multor organizații de poliție din Pakistan. Toate aceste grupări au vizat în final Poliția din Balochistan, forța de ordine a unei provincii marcate de o insurgență separatistă și de tensiunile regionale atrase de aceasta.
Atribuirea atacurilor se bazează pe evaluarea SentinelLABS și pe sursele secundare citate. Convergența mai multor actori asupra aceleiași categorii de victime reprezintă un semnal de interes documentat.
Două puteri regionale cu motive opuse vizează aceleași date. Pentru China, interesul principal este siguranța cetățenilor săi, supuși unor atacuri repetate pe teritoriul pakistanez. Pentru India, miza este monitorizarea unui adversar într-o provincie aflată în centrul rivalității bilaterale.
Cele mai multe compromiteri au fost identificate la Poliția din Balochistan, însă activitatea C2 a vizat și poliția din Khyber Pakhtunkhwa, pe cea din Islamabad, precum și Punjab Safe Cities Authority.
Activitatea este analizată în patru clustere, grupate după instrumentele utilizate: PlugX, ShadowPad, Cobalt Strike și Remcos. În intervalul octombrie–noiembrie 2024, trei dintre acestea au acționat simultan împotriva Poliției din Balochistan.
Serverele compromise găzduiau aplicații web dezvoltate în cadrul inițiativei Smart Police Station, un program de modernizare a poliției susținut de Uniunea Europeană. Datele expuse includ cazierul judiciar, amprente biometrice, registre hoteliere, fișe de personal și reclamații depuse de cetățeni.
Sistemul de Gestionare a Reclamațiilor (CMS) este portalul folosit de cetățeni și de personalul poliției din Balochistan. Atacatorii au plasat în acest sistem fișiere spion deghizate în actualizări ale aplicației, transformând un instrument de digitalizare publică într-un vector de infectare.
cms.balochistanpolice.gov.pk
Acces restricționat. Credențiale de tip ps-[district]. Dosare, reclamații, managementul cazurilor.
Acces deschis. Cetățenii verifică stadiul reclamației prin număr de referință și telefon.
Două variante ale fișierului cms_plugin.exe au fost plasate în directorul /client scripts/:
1. Rust stager: descarcă un payload de pe serverul C2 193.42.25[.]65.
2. AsyncRAT (.NET): deghizat în 360Safe.exe (produs de securitate chinez), conectat la serverul 41.216.188[.]140. Calea PDB D:\\codedome\\... conține termeni în pinyin și mesaje în chineză simplificată, indicând un dezvoltator vorbitor de limba chineză.
Adrese IP de comandă și control (C2), hash-uri SHA-1 ale fișierelor și URL-uri utilizate în atacuri. Faceți click pe o valoare pentru a o copia rapid.
| Tip | Valoare | Notă |
|---|