Essa campanha indiscriminada de hackers na Web é notável não apenas porque ocorreu durante o pico da nova crise de coronavírus na China, mas também porque começou apenas alguns meses depois que a Volexity e o Google revelaram publicamente que o mesmo grupo do Evil Eye estava invadindo smartphones por meio desses mesmos sites, usando uma rara coleção de vulnerabilidades de software iOS anteriormente desconhecidas - também conhecidas como vulnerabilidades de dia zero - que chocaram o mundo da segurança cibernética. O grupo de pesquisa de segurança Citizen Lab descobriu que as mesmas vulnerabilidades de dia zero também estavam sendo usadas para atingir vítimas tibetanas, o que a Volexity vê como uma sugestão de que os hackers provavelmente estavam realizando vigilância doméstica em nome do governo chinês. O país tem enfrentado críticas internacionais sobre o tratamento de ambos os grupos étnicos, com um foco crescente nos últimos anos na supressão relatada de uigures na região de Xinjiang, no oeste da China.

O fato de os hackers reequiparem tão rapidamente e lançarem uma nova campanha de espionagem no final de 2019 e no início de 2020 parece sugerir o quão determinados os hackers patrocinados pelo estado da China estão a acompanhar as comunicações dos uigures, diz Steven Adair, fundador da Volexity. "Colocar tantos recursos e esforços no desenvolvimento de implantes e explorações mostra claramente que os uigures são um alvo de alta prioridade", diz Adair, usando o termo "explorar" para se referir a uma técnica de hacking e "implantar" para significar o malware no qual instala uma máquina alvo. "Eles estão lá em cima o suficiente para que, mesmo na época do coronavírus e mesmo depois que esse grupo tenha sido divulgado e exposto publicamente, isso não os impedisse de continuar operando".

No outono passado, a equipe de pesquisa do Project Zero do Google revelou que um grupo de hackers havia usado nada menos que 14 vulnerabilidades de dia zero em ataques na fonte, os quais a Volexity posteriormente vinculou a uma campanha de hackers em andamento visando uigures chineses. Os ataques mais recentes, por outro lado, não usaram nenhuma vulnerabilidade de dia zero, mas sim os telefones direcionados que não possuem os patches mais recentes do iOS anteriores a julho de 2019, incluindo as versões 12.3, 12.3.1 e 12.3.2 do iOS. (Em notícias separadas, a empresa de segurança ZecOps revelou hoje que uma técnica de hacking de dia zero havia sido usada contra iPhones na natureza, e corrigida apenas em uma atualização beta para iOS na semana passada. Atualize seu iPhone para se proteger dos dois ataques.)

Segundo a Volexity, os hackers usaram vulnerabilidades no Webkit, que serve como base dos navegadores iOS, para invadir os visitantes do site com iframes maliciosos plantados nos sites de destino. Adair, da Volexity, diz que a exploração teria sido quase impossível para um usuário detectar e não discriminava as vítimas, simplesmente infectando todos os visitantes em sites comprometidos. "Para alguém no telefone, não há indicação de que isso aconteceu", diz Adair. "Eles apenas lançaram a rede mais larga, puxaram a bola e passaram pelos resultados".