Tibetaanse mensenrechtenorganisaties zijn al geruime tijd het doelwit van malware-aanvallen, maar de aanvallers doen weinig moeite om hun sporen te verbergen. Dat blijkt uit een analyse van het Citizen Lab. Via kwaadaardige documenten wordt geprobeerd om drie organisaties te infecteren, waarvan twee zich met Tibetaanse rechten en één met Chinese mensenrechten zbezighouden. De documenten bevatten de PlugX Remote Access Trojan (RAT).

De eerste e-mail met de PlugX RAT werd begin mei 2012 waargenomen. Sindsdien zijn er in totaal 20 verschillende varianten gedetecteerd. De meeste e-mails bevatten een document, in slechts één geval werd er een link gebruikt. Eenmaal actief geeft de PlugX RAT de aanvallers volledige controle over het besmette systeem.

Uit de analyse van het Citizen Lab blijkt dat de makers zich weinig van geheimzinnigheid en 'code hygiëne' aantrekken. Zo staan er aanmerkingen in de code, die erop wijzen dat een demoversie van een softwareprogramma voor de ontwikkeling van de code is gebruikt. Verder blijkt uit verschillende debug strings dat de code nog steeds in ontwikkeling is.