Pada tanggal 7 Februari, badan keamanan siber dan intelijen pemerintah Amerika Serikat, Inggris, Australia, Kanada, dan Selandia Baru mengatakan bahwa pemerintah China telah bertahun-tahun melakukan operasi siber dengan para peretas yang disponsori Beijing “berusaha menempatkan diri mereka di jaringan TI untuk serangan siber yang mengganggu atau merusak” terhadap infrastruktur penting negara-negara tersebut.
Pada tanggal 5 Februari, pemerintah Filipina mengatakan telah menangkal serangan siber dari China yang menargetkan situs web dan sistem email Presiden Ferdinand Marcos Jr. dan berbagai lembaga pemerintah lainnya.
Seorang juru bicara pemerintah mengatakan kepada media lokal bahwa mereka tidak menghubungkan aktivitas peretasan dengan negara tertentu, namun telah melacak serangan tersebut ke lokasi yang dirahasiakan di China.
Pada tanggal 6 Februari, badan intelijen Belanda mengungkapkan bahwa mata-mata dunia maya yang didukung pemerintah China memperoleh akses ke jaringan militer Belanda pada tahun 2023. Ini adalah pertama kalinya Belanda secara terbuka mengaitkan spionase dunia maya dengan China.
Sebagai tanggapan, Kedutaan Besar China di Filipina dan Kedutaan Besar China di Belanda menampik tuduhan tersebut dengan mengeluarkan pernyataan yang serupa:
“Pemerintah China… tidak mengizinkan negara atau individu mana pun untuk terlibat dalam serangan siber dan aktivitas ilegal lainnya di wilayah China atau menggunakan infrastruktur China.”
(Klaim pernyataan) itu SALAH.
China memiliki sejarah serangan siber jahat dan spionase yang terdokumentasi di seluruh dunia, yang sebagian besar terkait dengan 'aktor-aktor' pemerintah China.
Aktor siber terkait pemerintah China yang paling terkenal meliputi:
"Volt Typhoon" (Topan Volt)
(atau dikenal juga sebagai: Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite, Insidious Taurus)
Pada Mei 2023, Microsoft mendeteksi dan mengidentifikasi Volt Typhoon sebagai aktor yang disponsori pemerintah China. "Volt Typhoon" telah aktif sejak pertengahan tahun 2021 dengan menargetkan infrastruktur penting Amerika Serikat. “Organisasi yang terkena dampak mencakup sektor komunikasi, manufaktur, utilitas, transportasi, konstruksi, maritim, pemerintahan, teknologi informasi, dan pendidikan,” kata Microsoft.
Perusahaan keamanan siber CrowdStrike melacak aktivitas Volt Typhoon di AS hingga “setidaknya pertengahan tahun 2020,” dan mengatakan bahwa salah satu taktik peretasan yang dilakukan kelompok tersebut adalah dengan menyamar sebagai “perangkat lunak pusat bantuan TI yang sah.” Hal ini memungkinkan para peretas China untuk melakukan “intrusi tingkat lanjut” dan tetap tidak terdeteksi.
Microsoft juga melaporkan bahwa aktivitas diam-diam Volt Typhoon mencakup penggunaan teknik canggih yang dikenal sebagai “living-off-the-land,” di mana penyerang tidak meninggalkan jejak keberadaan mereka di disk dan hampir tidak terlihat oleh sistem antivirus.
“Pilihan target dan pola perilaku Volt Typhoon tidak konsisten dengan spionase dunia maya tradisional atau operasi pengumpulan intelijen,” demikian kata Badan Keamanan Siber dan Infrastruktur AS (CISA) dalam peringatan keamanan siber publik tanggal 7 Februari.
“Lembaga-lembaga pembuat undang-undang AS khawatir mengenai potensi para aktor ini menggunakan akses jaringan mereka untuk menimbulkan dampak yang mengganggu jika terjadi potensi ketegangan geopolitik dan/atau konflik militer,” kata penasihat CISA.
STORM-0558
Menjelang perjalanan Menteri Luar Negeri AS Antony Blinken ke Beijing pada bulan Juni 2023, peretas yang didukung pemerintah China yang dijuluki Storm-0558 telah meretas akun email pejabat pemerintah AS di beberapa lembaga AS yang berhubungan dengan China.
The Washington Post melaporkan bahwa pejabat yang diretas termasuk Menteri Perdagangan Gina Raimondo, yang lembaganya bertugas menerapkan kontrol ekspor di pasar luar negeri. Amerika Serikat saat ini mempertahankan serangkaian kontrol ekspor yang bertujuan membatasi transfer barang-barang manufaktur semikonduktor dan komputasi canggih ke China.
Microsoft kemudian mengakui bahwa peretas China menggunakan “kunci penandatanganan konsumen akun Microsoft yang dicuri untuk memalsukan token otentikasi untuk Outlook Web Access dan Outlook.com. Penyerang juga mengeksploitasi masalah validasi token untuk menyamar sebagai pengguna Azure Active Directory dan mendapatkan akses ke email mereka.”
Storm-0558 mempertahankan akses ke akun email “sekitar 25 organisasi, termasuk lembaga pemerintah, sejak pertengahan Mei,” kata laporan itu.
APT 41
(atau dikenal juga sebagai: Amoeba, BARIUM, BRONZE ATLAS, BRONZE EXPORT, Blackfly, Brass Typhoon, Earth Baku, G0044, G0096, Grayfly, HOODOO, LEAD, Red Kelpie, TA415, WICKED PANDA, WICKED SPIDER)
APT 41 adalah kelompok peretas paling terkenal yang diidentifikasi sebagai bagian dari aparat spionase dunia maya Partai Komunis China, yang anggotanya sering menyamar sebagai aktor jahat. Pengawas keamanan siber melacak aktivitas kelompok ini setidaknya sejak tahun 2012.
Taktik peretasan “favorit” yang sering mereka gunakan, mencakup spear phishing, water hole, serangan rantai pasokan, dan "backdoors" ("pintu belakang"), demikian ungkap Kantor Keamanan Informasi AS dalam laporan bulan September 2022 yang merinci aktivitas terbaru kelompok tersebut, yang menjangkau setidaknya 14 negara.
Pada tahun 2019, perusahaan keamanan siber FireEye Threat Intelligence menilai “dengan keyakinan tinggi bahwa APT41 adalah kelompok spionase yang disponsori negara China dan juga melakukan aktivitas bermotif finansial untuk keuntungan pribadi.”
“Kelompok ini telah membangun dan mempertahankan akses strategis ke organisasi-organisasi di sektor kesehatan, teknologi tinggi, dan telekomunikasi,” kata laporan itu.
Pada tahun 2020, Departemen Kehakiman AS mengajukan dakwaan terhadap lima warga negara China dan dua warga Malaysia yang memiliki koneksi ke APT 41, karena meretas lebih dari 100 perusahaan di seluruh dunia untuk mencuri kode sumber kepemilikan, data pelanggan, dan informasi bisnis berharga lainnya.
Menurut surat perintah penangkapan FBI terhadap lima anggota "APT 41", kelompok tersebut telah melakukan aktivitas siber ilegal di “Australia, Brasil, Jerman, India, Jepang dan Swedia, Amerika Serikat, Australia, China (Tibet), Chili, India, Indonesia, Malaysia, Pakistan, Singapura, Korea Selatan, Taiwan, dan Thailand.”