Analitycy odkryli, że kilka osobnych kampanii układają się w jednym kierunku - służby na rzecz Chińskiej Republiki Ludowej. Grupa PKPLUG do tej pory pozostawała nieznana. Ślady wskazują, że są hackteam, czyli zespołem haktywistów, lub też tak zwanym haktywistycznym kolektywem. W sieci bowiem również tworzone są sojusze. Część z nich przeradza się w grupy operujące pod wspólną nazwą. Inne są wyraźnie doraźnym porozumieniem dla wykonania określonego ataku.

PKPLUG zajęli się również badacze z Palo Alto Networks. Analizowali dostępne ślady cyfrowe od trzech lat. Po analizie zebranych informacji uznali, że grupa ma wsparcie państwa. Oprócz tego ustalili, że stanowią element szpiegowski. Nie ma jednak jasnych ustaleń jak PKPLUG umiejscawia się w strukturach wywiadu. Badacze również nie mają pewności co do samej struktury organizacyjnej haktywistów, czy w ich przypadku nie występuje tylko wspólnota użytych narzędzi.

Ich znakiem firmowym jest używanie plików ZIP dołączanych do bibliotek DLL. Za ich pomocą umieszczają w atakowanym systemie szkodliwe oprogramowanie (malware) PlugX. Podczas śledzenia wirusów ustalili, że grupa używa jako nośników zakażeń również aplikacje na Android HenBox oraz program Farseer, aplikacje otwierającą tylną furtkę do Windows. Podczas ataków również dostarczali Trojana 9002. Z grupą są powiązane wirusy znane jako Poison Ivy oraz Zupdax.

Powiązana z Chińczykami PKPLUG działała od około 2013 roku. Za główne cele stawiają sobie zbieranie informacji. Takie bowiem funkcje mają wirusy umieszczane na komputerach ofiar. Dużą część celów znalazła się w przemyśle Azji Południowowschodniej. Wśród nich znalazły się między innymi Birma, Tajwan, Wietnam oraz Indonezja. Są to ośrodki znane z technologii informatycznych jako dostawcy i twórcy. Obok nich grupa atakowała Tybet, Xinjiang i Mongolię. Wśród typowych dla haktywizmu środków znalazła się między innymi inżyniera społeczna.

Media mylnie zawężają grupy jak PKPLUG do hakerów. W rzeczywistości mieszczą się one w konglomeracie idei Nowej Lewicy znanych jako haktywizm. Chociaż te niuanse się zacierają takie ślady, jak nazwy Poison Ivy dowodzą, że myślą wspólną dla wszystkich zagrożeń tego typu jest lewicowe rozumienie popkultury, nawet jeśli atakujący się z drugiego krańca świata, a nawet innej kultury.

Dla państw takich jak Chiny PKPLUG oprócz zebrania sekretów przeciwników i koalicjantów w handlu są podbudową pod nowy Jedwabny Szlak prowadzących przez siedemdziesiąt jeden krajów do Europy oraz Afryki. Stanowi również zabezpieczanie rezerw strategicznych w ropę naftową i gaz na Morzu Południowochińskim, w tym również łowiska. Zwłaszcza, że odkąd w lipcu 2019 Amerykanie sprzedali Tajwanowi broń za dwa miliardy dwieście milionów dolarów osłabili Chiny.

Działania PKPLUG w listopadzie 2013 odnotował Blue Coat Lab. Włamywacze wykorzystali błąd w Microsoft Word oraz samorozpakowujące się archiwum (SFX) Winrar. Duże znaczenie miało tutaj dostarczenie spreparowanego pliku za pomocą odpowiedniego opisu oraz wykazania społecznego znaczenia otwarcia programu. Tak wygląda zastosowana w Mongolii inżynieria społeczna, czyli za pomocą ładnych słówek zachęcanie, aby ludzie otwierali nieznane pliki.

Znów w kwietniu 2016 Arbor Networks doniosło, że Poison Ivy wykorzystano przeciw Birmie. Celem było zdobycie informacji handlowych z poczty elektronicznej w ramach członków ASEAN. Za pomocą Google Drive spreparowany plik ZIP docierał do znanych polityków, a także aktywistów praw człowieka. Dla zmylenia nazwy plików odwoływały się do aktualnych inicjatyw podejmowanych w Birmie. Z kolei w marcu 2017 grupa badaczy z Honk Kongu VKRL za pomocą strony GeoCities dostarczała kody napisane w PowerShell, VBScript do pobrania dokumentu Microsoft Word. Za pomocą techniki AppLocker Bypass uruchamiali złośliwy kod przy użyciu zaufanych dla Windows aplikacji. W 2018 HenBox grupa wykorzystała do infiltracji mniejszości w Turcji, Ujrów. Skoncentrowali się na ataku urządzeń Xiaomi. Dla zmylenia atakowanych i pobrania przez nich Farseer PKPLUG zastosowała dokument PDF z artykułem o Birmie.

Skuteczność ataku była możliwa, bo ofiary zapominały o podstawach bezpieczeństwa - nie otwieraniu nieznanych plików, ani uważnym czytaniu nadesłanych wiadomości. Opracowana u schyłku lat osiemdziesiątych technika oszustwa dalej ma się dobrze na korzyść Chin.

Jacek Skrzypacz