Un’operazione di cyberspionaggio perpetrata attraverso Facebook è stata sgominata e denunciata dal social network, e per una volta il rischio non ha riguardato la grande massa degli utenti della piattaforma. I bersagli erano relativamente pochi e ben selezionati dagli autori della campagna, cioè da un gruppo hacker cinese noto come Earth Empusa o come Evil Eye. I criminali informatici hanno tentato di spiare gli account di giornalisti, attivisti, dissidenti appartenenti alla comunità degli uiguri, minoranza etnica di religione islamica e di lingua turca, soprattutto residente nella regione autonoma dello Xinjiang. Le vittime di questa campagna sono però soprattutto residenti fra Stati Uniti, Canada, Australia, Turchia, Siria e Kazakistan.
Le attività di repressione di Pechino contro gli uiguri sono cosa nota, ma a detta di Facebook non è possibile affermare con certezza che Earth Empusa abbia agito su commissione del governo cinese. Come spiegato da Mike Dvilyanski, responsabile delle attività di investigazione contro il cyberspionaggio e delle policy di sicurezza di Facebook, il gruppo utilizzava diverse tattiche per identificare le proprie vittime e poi per infettare i loro dispositivi con del malware, così da poterli spiare a distanza.
La campagna ha potuto contare su notevoli risorse ed è andata avanti per molto tempo, a volte intensificando e a volte riducendo le proprie attività così da non farsi scoprire. Su Facebook i criminali hanno agito inviando link che puntavano verso pagine Web malevole, create a imitazione di siti di notizie reali. Visitando quei siti, gli utenti consentivano al malware di infettare i propri dispositivi.
Un’altra tecnica usata, di tipo social engineering, era la creazione di falsi profili Facebook: spacciandosi per giornalisti, attivisti, supporter, i criminali entravano in contatto con le loro vittime e cercavano di ottenere la loro fiducia. Ulteriore vettore di attacco sono state alcune applicazioni Android rivolte alla comunità uiguri. La società di Menlo Park ha disattivato gli account degli autori della campagna, che è riuscita a colpire circa 500 utenti.
Non è la prima notizia di cyberattacchi ai danni degli uiguri. Due anni fa uno studio della società di cybersicurezza Volexity segnalava i frequenti e sofisticati attacchi informatici subìti da questa popolazione fra il 2013 e il 2019, citando come esempio le numerose compromissioni di siti Web di informazione rivolti alla comunità uiguiri. Infettando questi siti, gli hacker hanno potuto spiare gli utenti che vi si collegavano. A parere di Facebook, la campagna di cyberspionaggio tramite social network può essere considerata opera dello stesso gruppo.