Den Anstoß zur Untersuchung gab im April 2025 der Aktivist Mehmet Tohti. Er erhielt eine WhatsApp-Nachricht, die angeblich von einem bekannten uigurischen Filmemacher stammte und ihn um seine private E-Mail-Adresse bat, um ihm eine Vorschau auf einen Dokumentarfilm zu schicken. Tohti klickte auf einen Link in der E-Mail und landete auf einer Seite, die seine Google-Zugangsdaten abfragte. Er gab sie nicht preis.
Kurz darauf erreichte ihn eine E-Mail, die sich als Google-Sicherheitswarnung ausgab und ihn über einen verdächtigen Anmeldeversuch informierte – vollständig auf Chinesisch verfasst. Daraufhin wandte sich Tohti an das Citizen Lab, dessen Forscher zwei getrennte Phishing- und Identitätsmissbrauchs-Kampagnen aufdeckten, die mutmaßlich von Hackern mit Verbindungen zur chinesischen Regierung geführt wurden.
Die erste Kampagne tauften die Forscher GLITTER CARP. Daran beteiligte Hacker nahmen Mitglieder des ICIJ ins Visier und gaben sich zugleich als solche aus. Die zweite Kampagne, SEQUIN CARP, richtete sich vor allem gegen die ICIJ-Journalistin Scilla Alecci sowie weitere Reporter, die über für die chinesische Regierung relevante Themen berichten.
Laut dem Bericht ist der Einsatz freiberuflicher Hacker das jüngste Beispiel dafür, wie China unabhängige Auftragnehmer zu sehr niedrigen Kosten mit digitaler transnationaler Repression beauftragt. „Die Folgen dieses industrialisierten Modells für Gemeinschaften, die von digitaler transnationaler Repression bedroht sind, sind erheblich", heißt es. Wenn offensive Cyberfähigkeiten zu derart niedrigen Preisen beschafft werden könnten, sinke der Aufwand, Diaspora-Gemeinschaften im Ausland anzugreifen, deutlich. Der Einsatz externer Auftragnehmer verschaffe China zudem eine „Ebene der glaubhaften Abstreitbarkeit".
Trotz vieler Gemeinsamkeiten unterscheiden sich die beiden Kampagnen in ihrer Vorgehensweise. GLITTER CARP führt Phishing-Angriffe, die „unerbittlich und breit angelegt" sind und teils Personen mit nur peripheren Verbindungen zu den Zielgruppen auswählen. Dieses Vorgehen deute auf einen Akteur mit erheblichen Ressourcen hin, der Wirkung über Verschleierung stelle. Proofpoint hat unabhängig davon Hinweise gefunden, dass die Gruppe hinter GLITTER CARP die taiwanische Halbleiterindustrie angegriffen hat.
SEQUIN CARP setzt ebenfalls auf Phishing, zielt aber vorrangig auf Journalisten und nutzt ausgefeilte Personas, die reale Menschen nachahmen. Die Gruppe investiere viel in Social Engineering, arbeite aber mit nachlässigen operativen Methoden und habe eine „Unfähigkeit gezeigt, auf andere Angriffsvektoren auszuweichen", wenn erste Versuche auf Komplikationen stießen.
Tohti steht nach eigenen Angaben seit Langem im Visier Pekings und erhält als geschäftsführender Direktor des Uyghur Rights Advocacy Project regelmäßig bedrohliche Anrufe von der dortigen Polizei. Im Interview sagte er, er sei zunächst durch die ausgefeilten Social-Engineering-Taktiken getäuscht worden. Inzwischen lasse er alle seine Geräte einmal im Monat auf Spuren eines Eindringens prüfen. Der Angriff habe zudem dazu geführt, dass sich andere Aktivisten aus Angst vor eigener Betroffenheit von der Zusammenarbeit mit seiner Organisation zurückgezogen hätten. „Automatische Selbstzensur und automatische Angst kommen damit einher", sagte er; das untergrabe die Sicherheit der Kommunikation sowie Vertrauen und Glaubwürdigkeit.