«Гламурные карпы» вышли на охоту. Почему за журналистами теперь следят под видом коллег

Китайские активисты в эмиграции и журналисты, которые пишут о давлении Пекина за рубежом, столкнулись с новой волной точечных атак. По данным Citizen Lab*, злоумышленники не просто рассылали поддельные письма, а тщательно играли чужими именами, копировали страницы известных организаций и подбирали истории, способные заинтересовать конкретную жертву.

Citizen Lab совместно с Международным консорциумом журналистов-расследователей (ICIJ) описала две группы, которые получили названия GLITTER CARP (карп с блёстками) и SEQUIN CARP (карп с пайетками). Авторы отчёта считают, что обе действовали в интересах КНР и атаковали уйгурских, тибетских, тайваньских и гонконгских активистов, а также журналистов, работавших над темами, чувствительными для китайских властей.

GLITTER CARP, по данным Citizen Lab, с апреля 2025 года рассылала фишинговые письма и сообщения, выдавая себя за знакомых активистов, сотрудников ICIJ и сервисы безопасности. Целью были учётные данные почтовых аккаунтов. В одном случае уйгурско-канадский активист Мехмет Тохти получил сообщение якобы от известного уйгурского режиссёра с просьбой посмотреть будущий документальный фильм. Ссылка вела не к видео, а на поддельную страницу входа в Google.

Похожую схему применяли против Всемирного уйгурского конгресса, Uyghur Human Rights Project, TibCERT, тайваньского медиа Watchout и гонконгской активистки Кармен Лау. В письмах встречались скрытые пиксели для отслеживания открытия сообщений, а часть ссылок вела на страницы, имитировавшие Google, ICIJ или другие доверенные ресурсы. Citizen Lab также нашла более сотни связанных доменов, часть которых могла применяться в других атаках.

SEQUIN CARP действовала иначе. Группа пыталась получить доступ к Gmail через вредоносные OAuth-запросы, при которых жертва сама разрешает стороннему приложению читать почту. Такая схема опасна тем, что не требует пароля и может сохранять доступ даже после его смены, пока пользователь вручную не отзовёт разрешение.

Главной целью SEQUIN CARP стала журналистка ICIJ Шилла Алекчи, координатор проекта «China Targets». Ей писали от имени Бай Бина, бывшего сотрудника суда в Пекине, история которого ранее появилась в китайских медиа. Злоумышленники использовали образ разоблачителя и обещали передать документы о коррупции, но ссылка запускала OAuth-цепочку для доступа к Gmail. Citizen Lab также зафиксировала похожую попытку против журналиста, пишущего о Пентагоне.

Авторы отчёта связывают обе кампании с практикой цифрового транснационального давления. По их оценке, атаки могли выполнять частные подрядчики, работающие в интересах китайского государства. На такую версию указывают широкий набор целей, повторное использование инфраструктуры, технические ошибки и сходство с ранее описанными операциями Proofpoint, Volexity и Trend Micro.

Citizen Lab считает, что подобные кибершпионские кампании подрывают доверие внутри диаспор и редакций, вынуждают активистов и журналистов постоянно проверять даже знакомые контакты и дают властям возможность отрицать прямую причастность. Для защиты авторы советуют проверять адреса отправителей, не вводить пароли после перехода из писем, пользоваться аппаратными ключами и регулярно просматривать приложения, которым выдан доступ к Google-аккаунту.

* The Citizen Lab признана нежелательной организацией в России.