LOOSE NEXUS กลุ่มไซเบอร์ในประเทศจีน หรือที่รู้จักกันในชื่อ APT41 ที่มีการโจมตีในการแพร่กระจายมัลแวร์หรือมุ่งเน้นการโจมตีไปในเรื่องของการเงิน โดยปัจจุบันการโจมตีของกลุ่มนี้มีแนวโน้มที่จะมุ่งเป้าไปที่ โรงงานไฟฟ้า

ทีม Threat Hunter ของ Symantec เปิดเผยว่ากลุ่มแฮ็กเกอร์ชาวจีนที่เชื่อมต่อกับ APT41 ซึ่ง Symantec เรียกกลุ่มนี้ว่า RedFly ได้ทำการโจมตีเครือข่ายคอมพิวเตอร์ของระบบส่งไฟฟ้าระดับชาติในแถบประเทศในเอเชีย ซึ่งยังไม่สามารถระบุชื่อประเทศที่เป็นเป้าหมายเกิดขึ้นในเดือนกุมภาพันธ์ของปีนี้และต่อเนื่องมาเป็นระยะเวลา 6 เดือนได้ โดยนักวิจัยจาก Mandiant ชี้ให้เห็นเบาะแสว่าเหตุการณ์ในครั้งนี้ แฮกเกอร์อาจเป็นกลุ่มเดียวกับที่เคยก่อเหตุก่อนหน้านี้โดยมุ่งเป้าไปที่ระบบสาธารณูปโภคด้านไฟฟ้าในอินเดีย การค้นพบของ Symantec เกิดขึ้นหลังจากคำเตือนจากหน่วยงาน Microsoft และหน่วยงานของสหรัฐอเมริกา รวมถึงหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และหน่วยงานความมั่นคงแห่งชาติ (NSA) ว่ากลุ่มแฮ็กเกอร์กลุ่มอื่นที่ได้รับการสนับสนุนจากรัฐจีน ซึ่งรู้จักกันในชื่อ Volt Typhoon ได้เจาะระบบสาธารณูปโภคด้านไฟฟ้าของสหรัฐฯ รวมถึง Guam ของสหรัฐอเมริกา ซึ่งอาจเป็นการเตรียมการสำหรับการโจมตีทางไซเบอร์ในกรณีที่เกิดข้อขัดแย้ง เช่น การเผชิญหน้าทางทหารในไต้หวัน

หลักฐานบางอย่างบ่งชี้ว่าการโจมตีที่เน้นไปที่อินเดียในปี 2021 และการโจมตี โรงงานไฟฟ้าใหม่ที่ค้นพบโดย Symantec นั้นดำเนินการโดยแฮ็กเกอร์กลุ่มเดียวกันซึ่งมีลิงก์ไปยังกลุ่มสายลับที่รัฐจีนสนับสนุนซึ่งรู้จักกันในชื่อ APT41 ซึ่งบางครั้งเรียกว่า Wicked Panda หรือ Barium, Symantec ตั้งข้อสังเกตว่าแฮกเกอร์ใช้มัลแวร์ตัวหนึ่งที่เรียกว่า ShadowPad ซึ่งถูกใช้งานโดยกลุ่มย่อย APT41 ในปี 2017 เพื่อติดตั้งคีย์ล็อกเกอร์ ซึ่งจะซ่อนอยู่ในระบบที่ติดไวรัสภายใต้ชื่อไฟล์ต่างๆ เช่น winlogon.