Citizenlab hat einen Bericht veröffentlicht, in dem Angriffe aus dem April und Mai 2015 auf politisch unerwünschte Gruppen aus Tibet und Hong Kong analysiert werden. Die gezielten Infektionen von Rechnern der Gruppen erfolgten mittels per Google Drive verbreiteter Power-Point-Präsentationen, die Inhalte aus dem Interessensbereich der Attackierten enthielten – etwa über Meinungsfreiheit, Treffen des Dalai Lama oder die Unabhängigkeit Tibets.
Die Angreifer müssen die Strukturen der Gruppen gekannt haben, da aufgrund früherer Angriffe Aufklärungsarbeit gegen das unbedarfte Öffnen von Mailanhängen geleistet wurde, die das Verbreiten von Malware über diesen Weg erschwerte. Die Nutzung von Google Drive ist eine Anpassung an den Verhaltenswechsel innerhalb der Gruppen.
Grundlage für die Angriffe ist eine Sicherheitslücke, die seit Oktober 2014 bekannt ist und mit der Code im Hintergrund ausgeführt werden kann. Im vorliegenden Fall durch eine vermeintliche .gif-Datei, die in der Realität eine ausführbare .exe ist. Noch dazu wurden die Zertifikate der Programmdatei gefälscht. Eines kam angeblich von Microsoft, ein anderes von F‑Secure.
Was die Angriffe gefährlich macht: Der Nutzer merkt nichts, etwa durch Programmabstürze oder anormales Verhalten des Systems, auch Virenscanner haben nur in den seltensten Fällen Alarm gemeldet. Von wem der Angriff stammt, ist unklar. Es ist aber davon auszugehen, da er dem Ausspionieren der Gruppen und nicht finanziellem Vorteil galt, dass die Akteure aus politischem Interesse gehandelt haben.
Es ist keineswegs ein Einzelfall, dass NGOs und politische Gruppen angegriffen werden. Citizenlab hat schon zahlreiche Angriffe zuvor aufgedeckt und ausgewertet, so etwa Chinas „Great Cannon“ und einen Trojaner, der sich gegen äthiopische, kritische Journalisten richtete. Für einen Gesamtüberblick hat Citizenlab einen Bericht veröffentlicht, der beschreibt, wie zivilgesellschaftliche Organisationen digital angegriffen werden.