Open source teksteditor met malware vergiftigd om Oeigoerse gebruikers te treffen

De aanval richtte zich volgens The Register op verschillende senior leden van het World Uyghur Congress (WUC). Zij ontvingen e-mails die zich voordeden als een betrouwbaar contactpersoon en Google Drive-links bevatten. Als op deze links werd geklikt, werd een met een wachtwoord beveiligd RAR-archief gedownload. Dit archief bevatte een Windows-versie van de open source Oeigoerse teksteditor UyghurEditPP. Citizen Lab vermoedt dat de ontvangers de ontwikkelaar van de applicatie kennen.

De gekoppelde versie van UyghurEditPP bleek echter te zijn aangepast met malware. Deze bevatte een backdoor die de operator in staat stelde informatie over het apparaat te verzamelen, informatie te uploaden naar een command-and-control server en extra bestanden, waaronder andere malware, te downloaden.

Escalatie

Hoewel de bron van de campagne niet is geïdentificeerd, merkt Citizen Lab op dat China in het verleden vergelijkbare tactieken heeft gebruikt. De aanval op software die is ontworpen voor sprekers van de Oeigoerse taal past volgens het rapport bij de doelstellingen van Beijing om de Oeigoerse taal te onderdrukken.

De beoogde WUC-leden werden door Google gewaarschuwd en trapten niet in de val. De aanval werd niet als technisch geavanceerd beschouwd. Citizen Lab waarschuwt echter dat het beperkte succes van deze aanval mogelijk kan leiden tot een escalatie in toekomstige agressievere campagnes.