Recorded Futureは9月22日(米国時間)、「Chinese State-Sponsored Group TA413 Adopts New Capabilities in Pursuit of Tibetan Targets」において、中国国家が支援するグループがチベット人コミュニティを標的とした新たなサイバー攻撃を行っていると伝えた。「TA413」と呼ばれるサイバー攻撃グループが、チベット人へのスパイ活動を目的としたキャンペーンを展開していることが明らかとなった。
2022年の前半にこの脅威グループによって、Sophosのファイアウォール製品「Sophos Firewall」が抱えていたゼロデイ脆弱性(CVE-2022-1040)が悪用され(現在はパッチが適用されている)、その後にMicrosoft Officeに存在していた欠陥「Follina」(CVE-2022-30190)が悪用されたことが判明されている。これら脆弱性を悪用して「LOWZERO」として追跡されているバックドアのカスタム版を展開していたことも確認されている。
TA413の活動は、2020年9月にProofpointによって初めて公に報告され、COVID-19パンデミックの初期にチベット人コミュニティに対する持続的な標的設定と、複数の欧州事業体に対する短期間の標的設定を行ったことが観察されている。この活動では「Sepulcher」と呼ばれるマルウェアファミリをロードするために、複数の中国国家支援グループ間で共有されている「Royal Road RTF Weaponizer」が使われている。そのため、中国国家に代わってサイバースパイを行っている可能性が高いとみられている。
Recorded Futureは、この脅威グループが新しい機能を取り入れつつ試行錯誤を重ねていると指摘している。また、同グループが採用しているツールの一部とインフラ管理手法が大きく異なることから、マルウェアやエクスプロイトの開発に携わるチームと、運用を行うチームが分かれていると分析。ゼロデイ脆弱性や最近公開された脆弱性を採用していることから、このような脆弱性が一般に公開される前に中国活動グループによって悪用されることが常態化していると述べている。