Onderzoekers van beveiligingsbedrijf Trend Micro hebben twee servers die gebruikt zijn voor een 'spionagenetwerk' gevonden. Daarop stonden bijna 12 duizend ip-adressen in 116 landen. Het ging om overheidsinstanties, technologiebedrijven, mediaconcerns, wetenschappelijke instellingen en non-gouvernementele organisaties.

Word-kwetsbaarheid

In gerichte phishing-aanvallen stuurden de beheerders van het spionagenetwerk een Word-bestand dat over Mongoli├ź of Tibet zou gaan naar hun doelwitten. Het bestand bevatte malware dat misbruik maakte van een kwetsbaarheid in Microsoft Word, dat al in april 2012 door Microsoft zou zijn gedicht.

De malware was gericht op het stelen van informatie. Zo gebruikten de aanvallers onder meer tools om wachtwoorden uit browsers en login-gegevens van Remote Desktop te onderscheppen.

Chinese onderwereld

De malware zou volgens de Trend Micro-onderzoekers mogelijk het werk zijn van een programmeur met banden met de Chinese onderwereld. Maar wie de opdrachtgevers zijn is niet duidelijk, net als het aantal slachtoffers. Tijdens het onderzoek communiceerden gemiddeld nog maar 71 besmette systemen nog met de spionageservers. De landen waar de meeste ip-adressen van slachtoffers zich bevonden waren India, de VS, China, Pakistan, de Filipijnen en Rusland.

De PDF van de researchpaper verscheen vrijdag online, maar was zaterdag weer van de Trend Micro-site verdwenen. Volgens de onderzoekers komt het volledige onderzoek 'binnenkort beschikbaar'.