Personen die banden hebben met China hebben in de weken voorafgaand aan de 90e verjaardag van de Dalai Lama op 6 juli 2025 twee cyberspionage-initiatieven uitgevoerd die gericht waren op de Tibetaanse gemeenschap, zo blijkt uit recent onderzoek van het Amerikaanse beveiligingsbedrijf Zscaler ThreatLabz en het Tibetan Computer Emergency Readiness Team (TibCERT), volgens een rapport van Phayul.
De campagnes, genaamd Operation GhostChat en Operation PhantomPrayers, maakten gebruik van vervalste Tibet-gerelateerde applicaties en websites om heimelijk spyware op de apparaten van slachtoffers te installeren, waardoor het mogelijk werd om vertrouwelijke informatie te stelen, apparaten op afstand te monitoren en te controleren.
Onderzoekers hebben aangegeven dat deze campagnes gebruik maakten van verschillende subdomeinen om vertrouwde websites na te bootsen. Slachtoffers werden verleid om schadelijke software te downloaden met als thema Tibetaanse culturele activiteiten, wat een meerfasig infectieproces in gang zette waarbij Gh0st RAT of PhantomNet (SManager) werd ingezet, spywaretools die vaak worden geassocieerd met groepen die worden gesteund door de Chinese staat.
In Operatie GhostChat infiltreerden aanvallers de website van een legitieme Tibetaanse liefdadigheidsinstelling en vervingen een link over de aanstaande verjaardag van de Dalai Lama door een link die gebruikers naar een misleidende, gelijkende website leidde. Deze frauduleuze website presenteerde een zogenaamde ‘Tibetaanse versie’ van een beveiligde berichtenapplicatie, die de installatie van Gh0st RAT verhulde. Deze malware was in staat om toetsaanslagen te registreren, schermafbeeldingen te maken, webcams te activeren, audio op te nemen en bestanden te extraheren, zoals gemeld door Phayul.
Operatie Phantom Prayers omvatte een vervalste ‘Global Birthday Check-in’-applicatie die een interactieve kaart weergeeft om goede wensen naar de Dalai Lama te sturen. Ondanks het onschuldige uiterlijk, installeerde de app in het geheim PhantomNet-spyware, waardoor aanvallers verdere kwaadaardige tools konden downloaden en gevoelige gegevens konden stelen.
Beveiligingsanalisten beschrijven dit als de meest recente in een reeks ‘watering hole’-aanvallen, waarbij websites die door een specifieke doelgroep worden bezocht strategisch worden gecompromitteerd, uitgevoerd tegen de Tibetaanse diaspora. Volgens het rapport van Phayul zijn soortgelijke tactieken eerder gebruikt door aan China gelieerde groepen zoals EvilBamboo, Evasive Panda en TAG-112.
