Các cơ quan chính phủ ở Trung Đông, châu Phi và châu Á là mục tiêu của một nhóm mối đe dọa dai dẳng (APT) tiên tiến của Trung Quốc như một phần của chiến dịch gián điệp mạng đang diễn ra có tên là Chiến dịch bóng ma ngoại giao kể từ ít nhất là cuối năm 2022.
Công ty an ninh mạng, trước đây đã theo dõi cụm hoạt động dưới tên CL-STA-0043, cho biết họ đang chuyển nó thành một nhóm diễn viên tạm thời có tên mã TGR-STA-0043 do đánh giá rằng bộ xâm nhập là công việc của một tác nhân duy nhất hoạt động thay mặt cho các lợi ích liên kết với nhà nước Trung Quốc.
Mục tiêu của các cuộc tấn công bao gồm các phái bộ ngoại giao và kinh tế, đại sứ quán, hoạt động quân sự, các cuộc họp chính trị, bộ của các quốc gia bị nhắm mục tiêu và các quan chức cấp cao.
CL-STA-0043 lần đầu tiên được ghi nhận vào tháng 6/2023 là nhắm mục tiêu vào các cơ quan chính phủ ở Trung Đông và Châu Phi bằng cách sử dụng các kỹ thuật đánh cắp thông tin xác thực và lọc email Exchange hiếm gặp.
Một phân tích tiếp theo từ Đơn vị 42 vào cuối năm ngoái đã phát hiện ra sự chồng chéo giữa CL-STA-0043 và CL-STA-0002 phát sinh từ việc sử dụng một chương trình gọi là Ntospy (hay còn gọi là NPPSpy) cho các hoạt động trộm cắp thông tin xác thực. Đơn vị 42 nói với The Hacker VN rằng hai cụm này khác nhau, nhưng có sự chồng chéo và được kết nối với nhau.
Các chuỗi tấn công do nhóm này dàn dựng đã liên quan đến một tập hợp các cửa hậu trước đây không có giấy tờ như TunnelSpecter và SweetSpecter, cả hai đều là biến thể của RAT Gh0st khét tiếng, một công cụ được sử dụng nhiều trong các chiến dịch gián điệp do tin tặc chính phủ Bắc Kinh dàn dựng.
TunnelSpecter lấy tên từ việc sử dụng đường hầm DNS để lọc dữ liệu, tạo cho nó thêm một lớp tàng hình. Mặt khác, SweetSpecter được gọi như vậy vì sự tương đồng của nó với SugarGh0st RAT, một biến thể tùy chỉnh khác của Gh0st RAT đã được đưa vào sử dụng bởi một tác nhân đe dọa nói tiếng Trung Quốc bị nghi ngờ kể từ tháng 8 năm 2023.
Cả hai cửa hậu đều cho phép kẻ thù duy trì quyền truy cập lén lút vào mạng mục tiêu của chúng, cùng với khả năng thực hiện các lệnh tùy ý, trích xuất dữ liệu và triển khai thêm phần mềm độc hại và công cụ trên các máy chủ bị nhiễm.
Các liên kết của Trung Quốc với Chiến dịch Bóng ma Ngoại giao tiếp tục xuất phát từ việc sử dụng cơ sở hạ tầng hoạt động được sử dụng độc quyền bởi các nhóm liên kết Trung Quốc như APT27, Mustang Panda và Winnti, chưa kể đến các công cụ như vỏ web China Chopper và PlugX.