Im März 2025 wurde eine besonders raffinierte Cyberangriffskampagne entdeckt, die auf hochrangige Mitglieder des Welt-Uiguren-Kongresses (WUC) abzielte, welche im Exil leben. Diese Angriffe setzen auf eine trojanisierte Variante der beliebten Open-Source-Textverarbeitungs- und Rechtschreibsoftware UyghurEdit++, die speziell für die Unterstützung der uigurischen Sprache entwickelt wurde. Die Opfergruppe besteht hauptsächlich aus Aktivisten und Führungspersönlichkeiten der uigurischen Diaspora, die für ihre Menschenrechtsarbeit und den Erhalt ihrer kulturellen Identität bekannt sind. Obwohl die Schadsoftware technisch nicht als besonders komplex eingestuft wird, zeichnet sich der Angriff durch seine äußerst präzise und kundenspezifische Vorgehensweise aus. Die Kampagne wurde wahrscheinlich bereits ab Mai 2024 durchgeführt, wie Analysen des Citizen Lab von der Universität Toronto zeigen, das die digitale Rechteforschung für diese Fälle koordiniert.
Die initiale Infektion erfolgte über eine Spear-Phishing-Methode, bei der gezielt personalisierte E-Mails an die Betroffenen gesendet wurden. Diese Nachrichten glichen echten Mitteilungen von vertrauenswürdigen Partnerorganisationen und enthielten Links zu Google Drive, die hinter scheinbaren Dokumenten versteckt waren. Beim Öffnen lud der Empfänger eine passwortgeschützte RAR-Archivdatei herunter, in der sich die kompromittierte Version von UyghurEdit++ befand. Diese manipulierte Software profiliert das Windows-System des Opfers detailliert und sendet die gesammelten Informationen an einen externen Server mit der Domain tengri.ooguy[.
]com. Neben der Sammlung von Systemdaten verfügt die Malware auch über die Fähigkeit, zusätzliche Schadsoftware-Komponenten herunterzuladen und diese auszuführen, vorausgesetzt, die Umgebung entspricht den Kriterien der Angreifer. Diese modulare Struktur ermöglicht es den Hackern, ihre Spionageoperationen flexibel an die jeweiligen Zielpersonen anzupassen. Die missbräuchliche Nutzung von UyghurEdit++ ist besonders perfide, weil die Software von der uigurischen Gemeinschaft als wichtiges Instrument für die Bewahrung ihrer Sprache und Kultur geschätzt wird. Der Trick, eine eigentlich legitime und populäre Anwendung mit versteckter Schadsoftware auszustatten, zeigt das tiefe Verständnis der Täter für ihre Zielgruppe und ihre technischen Kenntnisse.
Die Angriffe fügen sich in eine Reihe von Cyberkampagnen ein, die sich speziell gegen die uigurische Diaspora richten. Diese Angriffe werden als Teil einer weitreichenden Strategie der digitalen transnationalen Repression bewertet, die neben Überwachung auch Einschüchterung und die Kontrolle von Informationsflüssen umfasst. Die Ziele sind nicht nur die Verfolgung politischer Dissidenten, sondern auch die Einschränkung des Informationsaustauschs samt kritischer Berichterstattung über Menschenrechtsverletzungen in der chinesischen Region Xinjiang. Obwohl die genaue Identität der Angreifer offiziell nicht bestätigt wurde, weisen alle Untersuchungen und verwendeten Techniken auf eine staatlich unterstützte Gruppe in China hin. Die Vorgehensweise, das detaillierte Wissen über die Zielpersonen und deren Umfeld sowie der Fokus auf uigurische Exilaktivisten entsprechen klar den Mustern, die mit Pekings transnationaler Überwachungsstrategie übereinstimmen.
Digital erfasst werden dabei nicht nur persönliche Daten, sondern auch Aktivitäten, Kontakte und Kommunikationsnetzwerke der Betroffenen. Zu den langfristigen Absichten gehört laut Citizen Lab, die Bindungen der uigurischen Gemeinschaft zur Heimat zu kontrollieren und jede negative öffentliche Meinung bezüglich der Politik Chinas in der Region gezielt zu unterdrücken. Diese Angriffe werfen einen beunruhigenden Blick auf die Verwundbarkeit von Diaspora-Communities in der digitalen Welt. Trotz vorhandener Schutzmaßnahmen und notwendiger Sicherheitsbewusstsein der Betroffenen zeigen die Angriffsvektoren, wie ausgeklügelt und zielgerichtet digitale Bedrohungen heute auftreten können. Die Entdeckung dieser speziellen Kampagne unterstreicht die Bedeutung von kontinuierlicher Aufklärung, robusten Sicherheitsmaßnahmen und internationaler Zusammenarbeit im Kampf gegen solche gezielten Cyberangriffe.
Experten raten, insbesondere bei sensiblen Zielgruppen wie politischen Exilanten erhöhte Aufmerksamkeit walten zu lassen und vertrauenswürdige Software stets kritisch zu überprüfen. Diese Vorgänge erinnern daran, dass die Grenzen der Repression längst in die digitale Welt verlegt wurden und dass Informationstechnologie zugleich ein Instrument der Befreiung und ein Werkzeug der Überwachung sein kann. Das Verhältnis zwischen technologischen Innovationen und Menschenrechten bleibt daher weiterhin ein zentrales Thema in der globalen Sicherheitspolitik. Das Beispiel der Trojanisierung von UyghurEdit++ verdeutlicht, wie Angreifer auch scheinbar unverdächtige Programme missbrauchen, um ihre Überwachungs- und Kontrollmechanismen zu etablieren. Für betroffene Communities ergibt sich daraus die dringende Notwendigkeit, digitale Hygiene zu pflegen, sichere Kommunikationswege zu etablieren und sich über potenzielle Bedrohungen regelmäßig zu informieren.
Zusammenfassend stellt die Malware-Kampagne einen bedeutenden Vorfall dar, der aufzeigt, wie moderne Cyberattacken nicht nur technische Systeme angreifen, sondern auch politischen Druck und gesellschaftliche Kontrolle ausüben können. Die internationalen Reaktionen sowie die Forschungsergebnisse von Institutionen wie dem Citizen Lab tragen entscheidend dazu bei, diese Gefahren sichtbar zu machen und geeignete Gegenmaßnahmen zu entwickeln.
