Een meerjarige phishingoperatie gericht op de Amerikaanse lucht- en ruimtevaartsector en defensie heeft onthuld hoe aanvallers met succes vertrouwensrelaties manipuleerden om gevoelige software te verkrijgen, onder andere van medewerkers die aan NASA zijn gekoppeld.
Volgens bevindingen van het NASA Office of Inspector General organiseerde een Chinese staatsburger een geavanceerde social engineering-campagne door zich voor te doen als Amerikaanse onderzoekers en ingenieurs. De aanvaller gebruikte zorgvuldig opgestelde e-mails en valse identiteiten om slachtoffers ervan te overtuigen dat ze met legitieme collega’s communiceerden.
Het programma liep van 2017 tot 2021 en richtte zich op een breed scala aan organisaties, waaronder NASA, het Amerikaanse leger, federale instanties, universiteiten en particuliere bedrijven. Slachtoffers werden benaderd met verzoeken om toegang tot eigen lucht- en ruimtevaartsoftware en broncode, vaak onder het mom van samenwerking of academische uitwisseling.
Onderzoekers ontdekten dat in verschillende gevallen doelwitten onbewust voldeden en gecontroleerde of beperkte gegevens verstuurden zonder te beseffen dat de ontvanger deel uitmaakte van een buitenlandse inlichtingenoperatie. Men denkt dat de gestolen software toepassingen heeft in aerodynamische modellering en geavanceerde wapenontwikkeling, wat zorgen over nationale veiligheid oproept.
De persoon achter de campagne werd geïdentificeerd als Song Wu, een ingenieur verbonden aan een Chinees staatsbedrijf in de lucht- en ruimtevaart en defensie. De Amerikaanse autoriteiten hebben hem in 2024 aangeklaagd voor draadfraude en zware identiteitsdiefstal. Hij is nog steeds voortvluchtig en staat op de lijst van gezochte verdachten.
De operatie was sterk gebaseerd op social engineering in plaats van technische exploits. Aanvallers investeerden tijd in het onderzoeken van doelen, het opbouwen van geloofwaardige persona’s en het onderhouden van langdurige communicatie om vertrouwen op te bouwen. In sommige gevallen werden herhaalde verzoeken om software en onregelmatige betaal- of transfermethoden gebruikt, die onderzoekers later als waarschuwingssignalen belichtten.
Functionarissen benadrukten dat de zaak aantoont hoe zelfs zeer technische organisaties kwetsbaar blijven voor mensgerichte aanvallen. Door traditionele beveiligingsmaatregelen te omzeilen en professionele relaties te misbruiken, kon de campagne gevoelige informatie extraheren zonder direct argwaan te wekken.
Het incident weerspiegelt een breder patroon in cyberspionage, waarbij dreigingsactoren de indruk maken op diefstal van inloggegevens, identiteitsfraude en vertrouwensmanipulatie boven directe systeemcompromittering. Beveiligingsexperts blijven het belang van medewerkersbewustzijn en strikte afhandelingsprocedures voor exportgecontroleerde technologieën benadrukken om de blootstelling aan soortgelijke aanvallen te verminderen.