Onderzoekers op het gebied van cyberbeveiliging hebben details bekendgemaakt van aanhoudende cyberspionageactiviteiten tegen verschillende Pakistaanse wetshandhavingsorganisaties, ondernomen door vermoedelijke aan China en India verbonden dreigingsactoren tussen februari 2024 en april 2026.
“Bij de politie van Balochistan omvatten de gecompromitteerde activa servers die webapplicaties hosten die politie- en burgergegevens beheren, zoals strafrechtelijke en biometrische gegevens”, zei Aleksandar Milenkoski, hoofdonderzoeker van dreigingen bij SentinelOne SentinelLABS, in een rapport dat deze week werd gepubliceerd.
De activiteit was gericht op netwerkapparaten en servers die webapplicaties hosten die biometrische gegevens, hotel- en huurderregistraties beheren die zijn gekoppeld aan nationale identiteitsgegevens, strafzaken en personeelsgegevens.
De Chinese nexus-bedreigingsacteur zou ook een van deze webapplicaties hebben gecompromitteerd om een aangepast implantaat in te zetten dat zich voordeed als een portaalupdate. De applicatie in kwestie, genaamd Complaint Management System (CMS), bedient politiepersoneel en burgers, waardoor beide categorieën gebruikers binnen de baan van de aanvaller komen.
SentinelOne zei dat het gecompromitteerde infrastructuur heeft gedetecteerd die verband houdt met verschillende andere Pakistaanse wetshandhavingsorganisaties, waaronder de politie van Khyber Pakhtunkhwa, de politie van Islamabad en de Punjab Safe Cities Authority (PSCA).
Er zijn vier verschillende bedreigingsclusters gemarkeerd, die elk een unieke malwarefamilie inzetten: PlugX, ShadowPad, Cobalt Strike en Remcos RAT. Het gebruik van Remcos RAT is in verband gebracht met een bedreigingsacteur uit India, terwijl de PlugX-, ShadowPad- en Cobalt Strike-clusters zijn gebouwd op gedeelde of commodity-tools en waarbij bij elk meer dan één operator betrokken kan zijn.
Dat gezegd hebbende, wordt de inzet van zowel PlugX als ShadowPad, waarvan de laatste wordt beschouwd als een opvolger van PlugX, traditioneel geassocieerd met Chinese hackgroepen van de natiestaten.
“De slachtofferologie die we hebben waargenomen voor PlugX (tussen 27 februari en 28 september 2024) en ShadowPad (tussen 3 augustus en 1 december 2024) versterkt deze beoordeling”, aldus het cyberbeveiligingsbedrijf.

“Naast de Pakistaanse wetshandhaving omvat de slachtofferkunde voor PlugX en ShadowPad overheids-, buitenlandse zaken-, defensie-, niet-gouvernementele en onderzoeksinstellingen in Zuid-, Zuidoost-, Centraal- en Oost-Azië, het Arabische Schiereiland en Zuidoost-Europa, in overeenstemming met op China afgestemde verzamelingen.”
Er wordt beoordeeld dat de Remcos-gerelateerde inbraakset infrastructuur en tactische overlappingen deelt met een hackgroep die bekend staat als Mysterious Elephant (ook bekend als APT-C-08, APT-K-47 en TAG-179), die op zijn beurt overeenkomsten vertoont met India-nexus-tegenstanders zoals SideWinder, Confucius en Bitter.
Aanvalsketens blijken gebruik te maken van kunstaas dat verband houdt met de Pakistaanse wetshandhaving, waarbij een lokdocument wordt getoond dat beweert een operationeel plan te bevatten voor de repatriëring van illegale buitenlanders, waaronder houders van een Afghan Citizen Card (ACC).
De banden van het Cobalt Strike-activiteitencluster met Chinese nexus-dreigingsactoren zijn gebaseerd op het feit dat het verkeer naar de door de aanvaller gecontroleerde command-and-control (C2)-server (“142.171.183(.)8”) zich verder uitstrekt dan de Pakistaanse wetshandhaving en zich uitstrekt tot overheids-, academische, telecommunicatie- en niet-gouvernementele entiteiten in Zuid-, Oost- en Zuidoost-Azië, het Midden-Oosten en Zuid-Amerika – een slachtofferschapsprofiel dat consistent is met aan China verbonden hackers.
Onder de doelwitten bevinden zich Tibetaans-boeddhistische organisaties in Taiwan, die al lange tijd het doelwit zijn van China vanwege cyberspionage.
Nader onderzoek van de activiteiten gericht op de politie van Balochistan heeft de compromittering van de volgende activa aan het licht gebracht die plaatsvond tussen 2 juni 2024 en 9 april 2026:
- Twee netwerkapparaten
- Webservers die verschillende webapplicaties van de politie van Balochistan hosten die verband houden met het digitaliseringsinitiatief van het Smart Police Station
- Een Fortinet FortiMail-apparaat dat had gediend als de belangrijkste gateway voor inkomende e-mail van het bureau
Een van de geïnfecteerde applicaties is het Complaint Management System (“cms.balochistanpolice.gov(.)pk”), dat wordt gebruikt voor het registreren, volgen en oplossen van klachten van burgers. Twee verschillende varianten van een implantaat genaamd “cms_plugin.exe” zijn in verband met de operatie naar de site geüpload –
- Een Rust-stager die is ontworpen om een extra payload van “193.42.25(.)65” te downloaden en uit te voeren. De exacte aard van de volgende fase is onbekend, maar in de voorbeelden wordt bij uitvoering het bericht “Update voltooid! Vernieuw de pagina” weergegeven, wat lijkt op een CMS-portalupdate.
- Een uitvoerbaar .NET-bestand dat zich voordoet als “360Safe.exe”, een legitiem binair bestand dat wordt gebruikt door Qihoo 360 Total Security, om reflecterend een assembly te laden die een AsyncRAT-client implementeert.
De activiteit is opmerkelijk omdat ze zowel een “partner als een tegenstander van Pakistan” naar hetzelfde slachtoffer heeft getrokken voor het verzamelen van inlichtingen, waarschijnlijk aangewakkerd door geopolitieke motieven.
“Wanneer meerdere cyberspionage-actoren optreden tegen wetshandhavingsinstellingen van een enkele staat, is de convergentie zelf een signaal van doelwaarde”, legt Milenkoski uit. “Wat hen aantrekt, is een bepaald soort instituut: een instituut dat het beeld van de interne veiligheid van de regering bijhoudt, wat zij weet over de bedreigingen binnen haar grenzen, en hoe zij daartegen optreedt.”
“Het compromis van de webapplicatie Complaint Management System voegt een tweede dimensie toe aan de activiteit tegen de politie van Balochistan, waardoor het bereik van de dreigingsactor wordt uitgebreid tot buiten de aanvankelijk gecompromitteerde omgeving. Door implantaten te hosten in een portaal dat wordt gebruikt door zowel burgers als wetshandhavingspersoneel, heeft de dreigingsactor een hulpmiddel dat is gebouwd om de politie in Pakistan toegankelijker en verantwoording te geven aan het publiek, omgezet in een mechanisme voor het afleveren van malware.”