Líderes do Congresso Mundial Uigur (WUC) no exílio foram alvo de uma campanha de malware detectada em março de 2025, segundo o Citizen Lab, da Universidade de Toronto. O ataque usou uma versão adulterada da ferramenta UyghurEdit++, um processador de texto de código aberto voltado para o idioma uigur. A campanha de phishing foi altamente direcionada: os e-mails se passavam por contatos confiáveis e continham links do Google Drive. Ao clicar, o usuário baixava um arquivo RAR protegido por senha, que incluía a versão trojanizada do UyghurEdit++.

Uma vez executado, o programa espionava o sistema Windows da vítima e enviava os dados para um servidor externo (“tengri.ooguy[.]com”). O spyware, desenvolvido em C++, também era capaz de baixar e executar outros componentes maliciosos. A investigação foi iniciada após alertas do Google a membros do WUC sobre ataques respaldados por governos. A análise indica que a atividade maliciosa começou ao menos em maio de 2024.

Embora os responsáveis pelo ataque não tenham sido identificados, a sofisticação da engenharia social e o conhecimento profundo da comunidade-alvo apontam para uma provável ligação com o governo chinês. O Citizen Lab alerta que o objetivo da vigilância é restringir os vínculos da diáspora uigur com sua terra natal, controlar o fluxo de informações sobre violações de direitos humanos em Xinjiang e limitar o impacto dessas denúncias na opinião pública internacional.