Sinds begin dit jaar wordt een toename waargenomen in de verspreiding van malware per mail die in verband wordt gebracht met vermoedelijke Chinese cybercrime activiteiten. Dat blijkt uit cijfers van Proofpoint. Het gaat om de Sainbox Remote Access Trojan (RAT), een variant van de commodity trojan Gh0stRAT, en de recent geïdentificeerde ValleyRAT-malware. Deze malware kwam jarenlang niet voor in de data van Proofpoint. Het verschijnen ervan in meerdere campagnes in het afgelopen half jaar noemt het bedrijf daarom extra opmerkelijk.
Over het algemeen zijn de campagnes kleinschalig en worden verspreid naar organisaties wereldwijd, die actief zijn in China. De onderwerpen en inhoud van de e-mails zijn meestal in het Chinees en hebben betrekking op zakelijke onderwerpen, zoals facturen, betalingen en nieuwe producten. De beoogde gebruikers hebben Chinese namen, weergegeven in Chinese karakters, of specifieke e-mailadressen van bedrijven die lijken aan te sluiten bij de activiteiten van bedrijven in China. Hoewel de meeste campagnes zich richten op gebruikers die Chinees spreken, nam Proofpoint één campagne waar die gericht was op een Japanse organisatie. Dit duidt op een mogelijke uitbreiding van de activiteit.
De opkomst en opleving van zowel nieuwe als oudere malware met een Chinees thema laat een nieuwe trend zien in heel het dreigingslandschap van 2023. Een mix van historische malware, zoals Sainbox – een variant van de oudere Gh0stRAT-malware, en de onlangs ontdekte ValleyRAT, kan de dominantie van de Russische cybercrime markt in het dreigingslandschap uitdagen. De malware met het Chinese thema is momenteel vooral gericht op gebruikers die waarschijnlijk Chinees spreken.