SentinelOne פרסמה מחקרים חדשים שקושרים את קבוצת ההתקפה הסינית המכונה ThunderCats (TA428) להתקפת הסייבר על שירותי הביטחון הרוסיים (FBS) אשר אישרו כי האקרים זרים תקפו סוכנויות פדרליות רוסיות בחודש שעבר. אחד האתגרים המורכבים ביותר בחקר מתקפות סייבר הוא לגלות את זהות התוקף. פעמים רבות לא ניתן לקבוע זאת בוודאות ומניחים את זהות התוקפים על פי סוג התקיפה או יעדיה. כך קרה במאי השנה, כששירות המודיעין הרוסי (FSB) וסוכנויות ממשלתיות נוספות נפלו קורבן למתקפה. ההנחה המיידית הייתה שהתוקפים היו מערביים- בסבירות גבוהה אמריקאים, שלהם יש חשבון פתוח מול רוסיה בעקבות סדרה בלתי פוסקת של מתקפות מתוחכמות.
חוקרי מודיעין הסייבר של חברת SentinelOne חשפו כי מי שעמד מאחורי התקיפה הם לא אחר מאשר הסינים. הזיהוי התאפשר משום שלאחר התקיפה הרוסים שחררו מידע טכני חלקי אודות הרושעה, ובימים האחרונים צפה ועלתה דוגמה של הרושעה כך שניתן היה לבצע בה ניתוח פורנזי. על ידי ניתוח הרושעה ששימשה במתקפה, בשם Mail-O malware, חוקרי SentinelOne גילו שהיא בעצם וריאנט של רושעה מוכרת בשם PhantomNet או SManager שמשויכת לתוקפים סינים דווקא.
הקישור בין שתי התוכנות נעשה לאחר שהתגלתה בקוד פונקציה בשם "Entery"- כנראה שיבוש של המילה "Entry" (כניסה). אותו שיבוש נתגלה קודם לכן על ידי חוקרים שבדקו מתקפת שרשרת-אספקה סינית כנגד מטרות בוייטנאם, והוא משוייך לקבוצת תקיפה סינית בשם 'TA428'- שכבר נטען בעבר שתקפה מטרות רוסיות. חשיפת הזהות המדויקת של הקבוצה (כגון יחידה בצבא האדום או מערך המודיעין הסיני) הוא כבר משימה קשה יותר- אפשר להניח שמספר קבוצות חולקות ביניהן את אותם כלי תקיפה ולכן לא ניתן יהיה לדעת בוודאות מי מאחוריה. "הזיהוי של התוקפים כסינים מתיישבת עם האיכות הבינונית של הרושעה, שנופלת מהרושעות המתוחכמות שמפותחות על ידי שירותי הביון המערביים", מסרו ב-SentinelOne.