Hackers com supostas ligações com a China e a Coreia do Norte estão associados a ataques de ransomware e criptografia de dados contra setores governamentais e de infraestrutura crítica globalmente. De acordo com a empresa SentinelOne, um grupo identificado como ChamelGang realizou ataques no Instituto de Ciências Médicas da Índia e na Presidência do Brasil em 2022, utilizando o ransomware CatB. Em 2023, o grupo também visou uma entidade governamental no Leste Asiático e uma organização de aviação no subcontinente indiano.

Os pesquisadores Aleksandar Milenkoski e Julian-Ferdinand Vögele destacam que atores de ameaças estão usando ransomware como uma fase final de suas operações para ganho financeiro, interrupção, distração, atribuição incorreta ou remoção de evidências. Esse método permite que os atacantes encubram suas trilhas destruindo artefatos que poderiam alertar os defensores sobre sua presença.

O ChamelGang, documentado pela primeira vez pela Positive Technologies em 2021, é avaliado como um grupo vinculado à China, motivado por coleta de inteligência, roubo de dados, ganho financeiro, ataques de negação de serviço (DoS) e operações de informação. Estima-se que 37 organizações, predominantemente no setor de manufatura dos EUA, tenham sido alvo.

As táticas observadas são consistentes com aquelas atribuídas a um grupo de hackers chineses chamado APT41 e a um ator norte-coreano conhecido como Andariel, devido à presença de ferramentas como o web shell China Chopper e um backdoor conhecido como DTrack. As operações de ciberespionagem disfarçadas como atividades de ransomware permitem que países adversários reivindiquem a negação plausível, atribuindo as ações a atores cibercriminosos independentes em vez de entidades patrocinadas pelo estado.