Im Zentrum der Untersuchung steht die Polizei von Belutschistan. Nach Einschätzung von SentinelLabs bündeln Polizeinetze die internen Sicherheitsdaten eines Staates an einem Ort. Genau das macht sie für Nachrichtendienste und andere staatlich ausgerichtete Akteure besonders attraktiv. Der Bericht beschreibt, dass die betroffenen Systeme Daten zu Strafverfahren, biometrischen Merkmalen, Fingerabdrücken, Beschäftigten, Hotel- und Mietregistrierungen sowie Bürgerbeschwerden enthielten.

SentinelLabs führt das China zugerechnete Interesse in erster Linie auf Pekings Wunsch zurück, Bedrohungen für chinesische Staatsangehörige in Pakistan selbst zu bewerten, statt sich allein auf pakistanische Sicherheitszusagen zu verlassen. Der Bericht verweist dabei auf einen Selbstmordanschlag im März 2024 und einen Angriff im Oktober 2024 nahe dem Flughafen von Karachi, von denen chinesische Arbeiter betroffen waren. Zugang zu Daten der Polizei von Belutschistan würde nach Einschätzung der Forscher Einblicke in den dortigen Konflikt ermöglichen.

Die Indien zugerechneten Aktivitäten ordnet SentinelLabs mit geringerer Sicherheit einem Akteur zu, den die Forscher als TAG-179 verfolgen. Überschneidungen gebe es mit Clustern, die andere als Bitter und Mysterious Elephant bezeichnen. Als einen Anhaltspunkt nennen die Forscher ein Lockdokument zum Thema Rückführung nicht dokumentierter Ausländer. Den Hintergrund sehen sie wahrscheinlich in der Rivalität zwischen Indien und Pakistan.

Konkret beschreibt der Bericht die Kompromittierung des Complaint Management System der Polizei von Belutschistan. Das Portal wird von Polizisten nach Anmeldung genutzt; zugleich können Bürger dort den Status von Beschwerden prüfen. Nach Angaben der Forscher platzierte ein China zugerechneter Operator Schadsoftware, die als Aktualisierung des Portals getarnt war. Die ausführbare Datei zeigte eine gefälschte Meldung an, die Aktualisierung sei abgeschlossen, infizierte währenddessen aber das Gerät des Besuchers.

Weil sowohl Polizeibedienstete als auch die Öffentlichkeit das Portal nutzen, setzte die Manipulation nach Darstellung von SentinelLabs beide Gruppen einem Risiko aus. Forensische Spuren im Code, darunter chinesischsprachige Protokollzeichenfolgen und Entwicklerartefakte, deuten laut den Forschern auf einen chinesischsprachigen Autor hin.

Statt konkrete Gruppen zu benennen, ordnete SentinelLabs die Aktivitäten nach eingesetzten Werkzeugen in Cluster ein. Für die China-Zuschreibung stützen sich die Forscher unter anderem auf Backdoors, die auch von chinesischen Gruppen verwendet werden, darunter PlugX und ShadowPad. Hinzu komme ein Opfermuster, das sich über asiatische Regierungen erstrecke und in einem Fall auch tibetische Organisationen in Taiwan umfasse.

Der Bericht ordnet die Vorgänge in einen breiteren Kontext gegenseitiger Cyberspionage zwischen Pakistan und Indien ein. Genannt werden Vorwürfe beider Seiten sowie frühere Kampagnen gegen indische Regierungs-, Hochschul- und strategische Einrichtungen ebenso wie gegen pakistanische Behörden und Betreiber kritischer Infrastrukturen. Zugleich verweisen die Forscher darauf, dass Pakistan seine Polizeiarbeit weiter zentralisiert und digitalisiert, teils mit Unterstützung europäischer Modernisierungsprogramme, wodurch sich weiterhin hochwertige Datenbestände an wenigen Stellen konzentrieren.