Die als RedAlpha bekannten Hacker haben es auf Organisationen wie Amnesty International, die International Federation for Human Rights, Radio Free Asia, das Mercator Institute for China Studies und andere Denkfabriken sowie Regierungs- und humanitäre Gruppen auf der ganzen Welt abgesehen. Die Auswirkungen der Hacker bleiben unklar, aber nach der bloßen Länge der Kampagne zu urteilen, erwarten Analysten, dass die digitale Spionage im Großen und Ganzen erfolgreich war.
Die Forscher von Recorded Future haben „hohes“ Vertrauen, dass RedAlpha von der chinesischen Regierung gesponsert wird, da alle Ziele „darunter fallen [its] strategische Interessen“, sagt Jon Condra, Leiter des Teams für strategische Bedrohungen der Organisation.
Es überrascht vielleicht nicht, dass sich die Hacking-Gruppe in den letzten Jahren besonders für Organisationen in Taiwan interessiert hat, darunter die Democratic Progressive Party und das American Institute in Taiwan, das de facto die Botschaft der Vereinigten Staaten in der kleinen Inseldemokratie ist. Die Regierung in Peking beansprucht Taiwan als Teil des chinesischen Territoriums.
RedAlpha ist seit mindestens 2015 aktiv, obwohl es in einem Bericht von Citizen Lab erst 2018 öffentlich identifiziert wurde. Sie hat konsequent Gruppen ins Visier genommen, die die Kommunistische Partei Chinas die „fünf Gifte“ nennt: Tibeter, Uiguren, Taiwanesen, Demokratieaktivisten und Falun Gong. Zu all diesen gehören inländische Dissidenten, die aus verschiedenen Gründen den Griff der Kommunistischen Partei auf China kritisieren und in Frage stellen. Sie teilen auch internationale Sichtbarkeit und Unterstützung.
Die Arbeit von Citizen Lab deckte zuerst die Kampagne von RedAlpha gegen die tibetische Gemeinschaft, Regierungsbehörden und eine Mediengruppe auf. In den Jahren seitdem hat Recorded Future weitere Cyberkampagnen gegen Tibeter identifiziert, und im vergangenen Jahr wies ein Bericht von PricewaterhouseCoopers darauf hin, dass die Gruppe ihren Fokus auf Einzelpersonen, gefährdete ethnische Gruppen, zivilgesellschaftliche Organisationen und eine wachsende Zahl von Regierungsbehörden ausdehnt.
Besonders interessant an diesen neuen Erkenntnissen ist, dass RedAlpha immer noch mit demselben einfachen und kostengünstigen Playbook arbeitet, das es vor Jahren verwendet hat. Tatsächlich wurde diese neueste Spionageliste mit früheren Kampagnen in Verbindung gebracht, da die Gruppe viele der gleichen Domänen, IP-Adressen, Taktiken, Malware und sogar Domänenregistrierungsinformationen wiederverwendete, die seit Jahren von Cybersicherheitsexperten öffentlich identifiziert wurden.