In de eerste helft van 2025 is een duidelijk patroon zichtbaar geworden in de wereldwijde cyberspionageactiviteiten van aan China gelieerde groepen. Met name strategische sectoren zoals telecommunicatie en halfgeleiders blijken doelwit van geavanceerde aanvallen.
Tussen december 2024 en januari 2025 maakte de door China gesteunde spionagegroep RedMike, ook bekend als Salt Typhoon, op grote schaal misbruik van kwetsbaarheden in Cisco-apparatuur bij wereldwijde telecombedrijven. Volgens de Insikt Group van Recorded Future gaat het om gerichte aanvallen op ongepatchte Cisco IOS XE-apparaten, waarbij twee bekende kwetsbaarheden zijn benut. Namelijk CVE-2023-20198 en CVE-2023-20273. Hiermee verkreeg RedMike verhoogde toegang en installeerde het een GRE-tunnel om blijvende controle over de getroffen systemen te behouden.
Tot de doelwitten behoorden een Amerikaanse dochter van een Britse telecomprovider, een Zuid-Afrikaans telecombedrijf en mogelijk universiteiten in onder meer de VS, Nederland, Mexico en Indonesië. De Chinese aanvallen lijken gericht op strategische informatie, waaronder onderzoek op het gebied van technologie en telecom. In totaal probeerde RedMike meer dan duizend apparaten wereldwijd uit te buiten.
Hoewel de groep internationaal al veel media-aandacht kreeg en recent onderwerp was van Amerikaanse sancties, blijven de aanvallen doorgaan. De VS legde in januari 2025 sancties op aan het Chinese bedrijf Sichuan Juxinhe Network Technology wegens directe betrokkenheid bij RedMike’s activiteiten. Volgens Recorded Future vormt dit type aanval een structurele dreiging voor de nationale veiligheid, omdat blijvende toegang tot telecominfrastructuur gebruikt kan worden voor afluisterpraktijken of sabotage bij politieke spanningen.
Bredere Chinese campagne
Hoewel deze aanvallen specifiek gericht waren op de telecommunicatiesector, vormen ze onderdeel van een bredere campagne van cyberspionage door China-geallieerde groepen, gericht op technologische dominantie en strategisch voordeel.
Van maart tot juni 2025 zijn meerdere cyberaanvallen uitgevoerd op Taiwanese bedrijven in de halfgeleiderindustrie. Volgens beveiligingsbedrijf Proofpoint gaat het om phishingcampagnes van drie China-geallieerde spionagegroepen, die gericht zijn op het verzamelen van gevoelige technische en financiële informatie. De aanvallers benaderden medewerkers via e-mails die zich voordeden als vacatures of investeringsvoorstellen, vaak verzonden vanaf gecompromitteerde universitaire accounts.
De phishingmails bevatten bijlagen die kwaadaardige software installeren, zoals backdoors en reverse shells. Technieken zoals DLL-sideloading en het gebruik van aangepaste malware, waaronder een backdoor met de codenaam Voldemort, werden ingezet om langdurige toegang tot systemen te verkrijgen. Ook werden geavanceerde phishingkits gebruikt om inloggegevens van medewerkers buit te maken.
De aanvallen lijken samen te hangen met China’s streven naar technologische onafhankelijkheid en komen op een moment van verhoogde geopolitieke spanning rond Taiwan en exportrestricties op chips. Proofpoint waarschuwt dat organisaties in de halfgeleiderketen wereldwijd extra alert moeten zijn op gerichte phishing en spionagepogingen.