Масштабная хакерская шпионская операция государственного уровня затронула правительственные сети и объекты критической инфраструктуры сразу в 155 странах. Зафиксированы успешные взломы минимум 70 организаций в 37 государствах, а активность злоумышленников синхронизировалась с политическими и административными событиями.
По данным аналитического подразделения Unit 42 компании Palo Alto Networks, группа ведёт системную разведку с января 2024 года и, по совокупности признаков, вероятно, связана с азиатским регионом. До подтверждения принадлежности специалисты обозначают оператора индексом TGR-STA-1030 или UNC6619.
Исследователь Unit 42 Майкл Стивенсон в аналитической записке сообщает, что инфраструктура атак строилась вокруг долговременного доступа к государственным сегментам сетей, а не вокруг разовых инцидентов.
География и профиль целей выглядят как аккуратно выстроенная карта интересов. Под прицел попали министерства, правоохранительные структуры, пограничный контроль, финансовые ведомства, торговые регуляторы, энергетика, добывающий сектор, иммиграционные службы и дипломатические представительства.
Аналитик Unit 42 Джонатан Рид в отчёте указывает, что атаки концентрировались на узлах, связанных с выработкой решений и международной повесткой.
Подтверждённые компрометации зафиксированы в Северной и Южной Америке, в европейских странах, в Австралии и на Тайване. В выборку вошли структуры, работающие с торговой политикой, геополитикой и электоральными процессами, а также национальные парламенты и финансовые ведомства. Исследователь Unit 42 Дэниел Морган отмечает, что набор целей говорит о прицеле на долгосрочное наблюдение за государственными процессами, а не на разрушение систем.
Отдельный интерес группа проявляла к временным окнам, совпадающим с резонансными событиями. Во время приостановки работы федеральных органов США в октябре 2025 года резко выросли сканирование и сбор данных в Северной, Центральной и Южной Америке. Аналитик Unit 42 Эндрю Коллинз пишет, что активность охватывала Бразилию, Канаду, Доминиканскую Республику, Гватемалу, Гондурас, Ямайку, Мексику, Панаму и Тринидад и Тобаго.
Ещё один всплеск разведки пришёлся на предвыборный период в Гондурасе. За 30 дней до голосования зафиксирован интенсивный интерес к не менее чем 200 IP-адресам, связанным с государственной инфраструктурой страны. По оценке исследователя Unit 42 Роберта Хейса, причиной стал политический контекст и публичные заявления кандидатов о возможном пересмотре дипломатических отношений с Тайванем.