トロント大学とカナダSecDev Group、サイバー犯罪調査グループShadowserver Foundationはカナダで現地時間2010年4月5日、チベットやインドの活動を監視するスパイ・ネットワーク「Shadow」に関する調査レポート「Shadows in the Cloud:An investigation into cyber espionage 2.0」を公開した。調査に加わったITセキュリティ/検閲研究者のNart Villeneuve氏が自身のブログで明らかにした。
このレポートによると、Shadowのマルウエアはインドの政府機関や企業、教育機関、チベット仏教の最高指導者であるダライ・ラマ14世の事務所のほか、国際連合、米国内のパキスタン大使館などのパソコンに感染し、攻撃用ネットワークを構築していた。高度なボット制御機構を備えており、TwitterやGoogle Groups、Blogspot、Baidu Blogs、blog.com、Yahoo! Mailといった各種オンライン・サービスを悪用して感染パソコンを操るという。
攻撃用ネットワークで交換されているデータを解析したところ、インド政府に関係すると思われる機密性の高い外交文書が多数見つかった。ダライ・ラマ14世の事務所から送られた1500通の文書もネットワークにあった。
レポートでは攻撃の首謀者を特定していないが、中心的な制御用サーバーが中国に存在することと、攻撃に使われたIPアドレスとメール・アドレスが中国四川省の成都にあるレンタル・サイトと関係することを指摘した。調査グループは中国のITセキュリティ組織China CERTに報告済みで、「このマルウエア・ネットワークが停止されること期待する」としている。
調査を行ったのは、トロント大学の調査研究グループ「Citizen Lab」およびSecDev Groupのサイバー・セキュリティ監視プロジェクト「Information Warfare Monitor(IWM)」とShadowserver Foundation。IWMは、2009年3月にも世界規模で諜報活動に関与しているスパイ・ネットワーク「GhostNet」の存在を報告している(関連記事:世界規模のスパイ・ネットワーク「GhostNet」、トロント大学らが報告)。
