קבוצות מרגלי סייבר סיניים הנקראים בשל כולל APT41, ידועים בביצוע כמה מפריצות הסייבר החצופות ביותר הקשורות לסין בעשור האחרון. שיטות קבוצות אלו נעות ממתקפות שרשרת אספקת באמצעות נוזקות שהחדירו ליישומים פופולריים ועד לפשעי סייבר ממוקדי רווח, שהרחיקו לכת עד כדי גניבת כספי סיוע מממשלת ארה"ב. כעת, נראה כי אחת מהקבוצות הפנתה את המיקוד שלה לקטגוריה מדאיגה אחרת של יעדים: רשתות חשמל.
חוקרי סייבר בחברת סימנטק חשפו שקבוצת האקרים סינית בעלת קשרים ל- APT41, אותה מכנה סימנטק בשם RedFly, פרצה את רשת המחשוב של רשת חשמל לאומית במדינה מסוימת באסיה, כאשר שסימנטק אינה מציינת באיזו מדינה מדובר. פריצת הסייבר החלה בפברואר השנה ונמשכה לפחות שישה חודשים, כשפושעי הסייבר הרחיבו את דריסת רגלם ברחבי רשת ה- IT של חברת החשמל הלאומית באותה מדינה. לא ברור עדיין עד כמה קרובים היו פושעי הסייבר הסיניים להשיג יכולת לשבש את ייצור החשמל או את הפצתו.
המדינה האלמונית שהרשת שלה הייתה במוקד פריצת הסייבר הינה מדינה שסין בעלת עניין אסטרטגי בה, רומז דיק אובריאן – מנתח מודיעין ראשי בצוות המחקר של סימנטק. אובריאן מציין שלסימנטק אין ראיות ישירות לכך שפושעי הסייבר התמקדו בחבלה ברשת החשמל של המדינה וטוען כי אפשרי שהם רק ביצעו ריגול. אולם חוקרים אחרים בחברת האבטחה Mandiant מצביעים על רמזים לכך שפושעי הסייבר הללו עשויים להיות אותם אלו שהתגלו בעבר כשהם מכוונים לתשתיות חשמל בהודו. בהתחשב באזהרות האחרונות על כך שהאקרים סיניים פורצים רשתות חשמל במדינות ארה"ב ובגואם – ובייחוד מניחים את הבסיס לגרימת הפסקות חשמל שם – מזהיר או'בריאן שיש סיבה להאמין שסין עשויה לעשות את אותו הדבר במקרה הזה: "קיימות סיבות מגוונות לתקיפת יעדי תשתית לאומיים קריטיים", אומר או'בריאן ומוסיף: "תמיד צריך לתהות אם אחת הסיבות היא להיות מסוגל לשמור על יכולת לשיבוש התשתית. אין זה אומר בהכרח שפושעי הסייבר ישתמשו ביכולת זו (במידה והשיגו אותה) אבל אם יש מתיחות בין שתי המדינות, כל מה שצריך הוא רק ללחוץ על הכפתור".
התגלית של סימנטק מגיעה בעקבות אזהרות של מיקרוסופט, הסוכנות לאבטחת סייבר ותשתיות (CISA) בארה"ב והסוכנות לביטחון לאומי (NSA), כי קבוצת פריצה אחרת בחסות סין הידועה בשם Volt Typhoon חדרה לחברות חשמל בארה"ב, כולל בשטח ארה"ב של גואם – אולי הנחת יסודות למתקפות סייבר במקרה של סכסוך, כמו עימות צבאי על טייוואן. עיתון הניו יורק טיימס דיווח מאוחר יותר כי פקידי ממשל מודאגים במיוחד מכך שהוחדרו נוזקות לרשתות אלו כדי ליצור את היכולת לנתק את החשמל לבסיסי צבא ארה"ב.
למעשה החל החשש מחידוש העניין הסיני בפריצת רשתות חשמל כבר לפני שנתיים, כאשר חברת אבטחת הסייבר Recorded Future הזהירה בפברואר 2021 כי האקרים סיניים החדירו נוזקות לרשתות רשת החשמל בהודו השכנה – כמו גם למערכות מחשוב של מסילות רכבת ורשתות נמלי ים – בעיצומו של סכסוך גבול בין שתי המדינות. Recorded Future ציינו בזמנו שנראה כי פריצת הסייבר נועדה להשיג את היכולת לגרום להפסקות חשמל בהודו, אם כי החברה אמרה שלא ברור אם הטקטיקה נועדה לשלוח מסר להודו, או להשיג יכולת מעשית בהודו במקרה של התקדמות של סכסוך צבאי, או שניהם גם יחד.
פריצת הסייבר של RedFly מהווה סימן מטריד לכך שסין מעלה הילוך לעבר מיקוד אגרסיבי יותר בתשתיות קריטיות כמו רשתות חשמל. במשך שנים מיקדה סין במידה רבה את פריצות הסייבר שלה בריגול, אפילו כשמדינות אחרות כמו רוסיה ואיראן ניסו לפרוץ תשתיות חשמל בניסיונות לכאורה להחדיר נוזקות המסוגלות לגרום להשבתות טקטיות. קבוצת הביון הצבאית הרוסית Sandworm למשל, ניסתה לגרום לשלוש הפסקות חשמל באוקראינה – שתיים מהן הצליחו. קבוצה רוסית נוספת הידועה בשם Berserk Bear הקשורה לסוכנות הביון FSB, פרצה שוב ושוב את רשת החשמל בארה"ב כדי להשיג יכולת דומה, אך מבלי לנסות לגרום להפרעה.
בהתחשב בפריצת הסייבר הסינית האחרונה, ניכר כי לכמה צוותי האקרים סיניים יש משימה הדומה לזו של קבוצת Berserk Bear: להשיג גישה ולשמר אותה, לשתול את הנוזקה הנחוצה לחבלה ולהמתין לפקודה למתקפת סייבר ברגע אסטרטגי. פירושה של המשימה זו הינה שההאקרים שסימנטק תפסה בתוך רשת החשמל של המדינה האסייתית האנונימית, יחזרו אליה כמעט בוודאות.
