تشير بعض الأدلة إلى أن حملة القرصنة التي ركزت على الهند في عام 2021 والاختراق الجديد لشبكة الطاقة الذي حددته شركة سيمانتيك تم تنفيذهما من قبل نفس الفريق من المتسللين الذين لهم صلات بالمجموعة الواسعة من الجواسيس الذين ترعاهم الدولة الصينية والمعروفة باسم APT41، والتي تسمى أحيانًا الباندا الشريرة أو الباريوم. تشير شركة Symantec إلى أن المتسللين الذين تتبعت اختراقهم للشبكة استخدموا قطعة من البرامج الضارة المعروفة باسم ShadowPad، والتي تم نشرها بواسطة مجموعة فرعية APT41 في عام 2017 لإصابة الأجهزة في هجوم على سلسلة التوريد أدى إلى إتلاف التعليمات البرمجية التي وزعتها شركة برمجيات الشبكات NetSarang وفي العديد من الأجهزة. الحوادث منذ ذلك الحين. في عام 2020، تم توجيه الاتهام إلى خمسة أعضاء مزعومين في APT41 وتم تحديدهم على أنهم يعملون لدى مقاول لوزارة أمن الدولة الصينية المعروف باسم Chengdu 404. ولكن حتى في العام الماضي فقط، حذرت الخدمة السرية الأمريكية من أن المتسللين داخل APT41 قد سرقوا الملايين من أموال فيروس كورونا الأمريكية. 19 صناديق الإغاثة، وهي حالة نادرة من الجرائم الإلكترونية التي ترعاها الدولة والتي تستهدف حكومة أخرى.
على الرغم من أن شركة Symantec لم تربط مجموعة اختراق الشبكة التي تسميها RedFly بأي مجموعة فرعية محددة من APT41، إلا أن الباحثين في شركة Mandiant للأمن السيبراني يشيرون إلى أن كلاً من خرق RedFly وحملة اختراق الشبكة الهندية قبل سنوات استخدمت نفس المجال كأمر. -وخادم التحكم في البرامج الضارة الخاصة بهم: Websencl.com. يشير هذا إلى أن مجموعة RedFly قد تكون في الواقع مرتبطة بكلتا حالتي اختراق الشبكة، كما يقول جون هولتكويست، الذي يقود استخبارات التهديدات في Mandiant. (نظرًا لأن شركة سيمانتيك لم تذكر اسم الدولة الآسيوية التي استهدفت شبكتها RedFly، يضيف هولتكويست أنها قد تكون في الواقع الهند مرة أخرى).
وعلى نطاق أوسع، يرى هولتكويست أن اختراق RedFly هو علامة مثيرة للقلق على أن الصين تحول تركيزها نحو استهداف أكثر عدوانية للبنية التحتية الحيوية مثل شبكات الطاقة. لسنوات، ركزت الصين إلى حد كبير عمليات القرصنة التي ترعاها الدولة على التجسس، حتى في الوقت الذي حاولت فيه دول أخرى مثل روسيا وإيران اختراق المرافق الكهربائية في محاولات واضحة لزرع برامج ضارة قادرة على التسبب في انقطاع التيار الكهربائي التكتيكي. على سبيل المثال، حاولت مجموعة الاستخبارات العسكرية الروسية Sandworm، التسبب في ثلاث حالات انقطاع للتيار الكهربائي في أوكرانيا، وقد نجحت اثنتان منها. قامت مجموعة روسية أخرى مرتبطة بوكالة الاستخبارات الفيدرالية الروسية المعروفة باسم Berserk Bear باختراق شبكة الكهرباء الأمريكية بشكل متكرر للحصول على قدرة مماثلة، ولكن دون محاولة التسبب في تعطيلها على الإطلاق.
بالنظر إلى هذا الاختراق الصيني الأخير للشبكة، يقول هولتكويست إنه بدأ يظهر الآن أن بعض فرق القرصنة الصينية قد تكون لديها مهمة مماثلة لتلك التي قامت بها مجموعة Berserk Bear: الحفاظ على الوصول، وزرع البرامج الضارة اللازمة للتخريب، وانتظار الأمر لتسليم المعلومات. حمولة هذا الهجوم السيبراني في لحظة استراتيجية. ويقول إن هذه المهمة تعني أن المتسللين الذين تم القبض عليهم من قبل شركة Symantec داخل شبكة الدولة الآسيوية التي لم يذكر اسمها سيعودون بالتأكيد.
“عليهم الحفاظ على إمكانية الوصول، مما يعني أنهم على الأرجح سيعودون إلى هناك. يقول هولتكويست: “يتم القبض عليهم، ويعيدون تجهيز أنفسهم، ثم يظهرون مرة أخرى”. “العامل الرئيسي هنا هو قدرتهم على البقاء على الهدف – حتى يحين وقت الضغط على الزناد.”
