SentinelLabs teilt die festgestellten Einbrüche in vier Cluster ein, die anhand der eingesetzten Malware und Infrastruktur voneinander abgegrenzt wurden: PlugX, ShadowPad, Cobalt Strike und Remcos. Die Forscher schränken allerdings ein, dass Cluster auf Basis gemeinsam genutzter oder frei verfügbarer Malware — anders als die Remcos-Aktivität, die einem einzelnen bereits verfolgten Akteur zugeordnet wird — auch mehrere Betreiber umfassen können.

Nach Angaben von SentinelLabs verschafften sich die Angreifer Zugriff auf Server mit Verbindungen zu biometrischen Datenbanken, Strafakten, Personalunterlagen und Systemen mit Bürgerkontakt. Im Mittelpunkt stand die Balochistan Police, auch wenn mehrere pakistanische Polizeiorganisationen betroffen waren.

Als mögliches Motiv für die China-nahen Aktivitäten nennt SentinelLabs Eigeninteresse. Chinesische Staatsangehörige, die an Projekten der Belt and Road Initiative in Pakistan arbeiten, seien wiederholt Ziel von Angriffen geworden, die mit belutschischen Separatistenmilizen in Verbindung gebracht werden. Chinesische Stellen hätten Islamabad zudem öffentlich für dessen aus ihrer Sicht unzureichenden Schutz kritisiert. Ein direkter Zugriff auf Polizeidaten in Pakistan würde es Peking ermöglichen, die Bedrohung eigenständig zu bewerten.

Die Indien-nahe Aktivität ordnen die Forscher dem seit Jahren andauernden Streit zwischen Islamabad und Neu-Delhi zu. Pakistan beschuldigt Indien seit langem, belutschische Milizen zu unterstützen, was Indien zurückgewiesen hat. Aus Sicht von Neu-Delhi könnten die Netzwerke der Balochistan Police zudem Aufschluss darüber geben, wie Islamabad mit dem Aufstand in Belutschistan umgeht.

Besonders brisant ist ein weiterer Fund von SentinelLabs: Im öffentlichen Complaint Management System der Balochistan Police, also dem Portal für das Einreichen und Nachverfolgen von Beschwerden, lagen schädliche Dateien, die als Software-Aktualisierung getarnt waren. Die gefälschte Update-Aufforderung hätte laut den Forschern jeden treffen können, der die Website nutzte — also sowohl Polizeibedienstete als auch normale Bürger.

Diese Intrusion brachte SentinelLabs mit einem chinesischsprachigen Entwickler in Verbindung. Die Zuordnung stützt sich nach Angaben der Forscher auf gemeinsame Code-Muster und Artefakte, die in zugehörigen Malware-Proben gefunden wurden.

Die Untersuchung zeichnet damit das Bild einer über lange Zeit verdeckt laufenden Spionagekampagne gegen Polizeistrukturen in Pakistan, an der laut SentinelLabs sowohl China-nahe als auch Indien-nahe Akteure beteiligt waren. Im Zentrum der Aktivität stand dabei die Balochistan Police.