Our investigation of a spearphishing campaign that targeted senior members of the World Uyghur Congress in March 2025 reveals a highly-customized attack delivery method. The ruse used by attackers replicates a pattern in which threat actors weaponize software and websites aimed at preserving and supporting marginalized and repressed cultures to target those same communities.

ปฏิบัติการคุกคามทางโซเชียลมีเดียและการเปิดเผยข้อมูลส่วนตัว (doxxing) อย่างเป็นระบบ ที่โจมตีฝ่ายประชาธิปไตยในไทยนั้น ดำเนินการมาอย่างต่อเนื่องและไร้การทักท้วงใดๆ อย่างน้อยตั้งแต่เดือนสิงหาคม 2020 โดยผู้วิจัยเรียกปฏิบัติการนี้ว่า JUICYJAM เรานิยามการเปิดเผยข้อมูลส่วนตัวว่าเป็นการสืบหาและเผยแพร่ข้อมูลส่วนตัวบนอินเตอร์เน็ตด้วยเจตนาไม่ดี โดยในบริบทนี้คือการปราบปรามและคุกคามขบวนการประชาธิปไตยไทย ปฏิบัติการนี้สร้างตัวตนในโซเชียลมีเดีย (โดยใช้ X และ Facebook เป็นหลัก) เพื่อโจมตีฝ่ายประชาธิปโตยโดยการเปิดเผยข้อมูลส่วนตัว คุกคามอย่างต่อเนื่อง และกำชับให้ผู้ติดตามรายงานผู้ชุมนุมแก่ตำรวจด้วย จากการวิเคราะห์โพสสาธารณะในโซเชียลมีเดีย ทางผู้วิจัยพบว่าปฏิบัติการนี้ไม่เพียงสร้างตัวตนปลอมขึ้นมา แต่ยังเผยแพร่ข้อมูลที่บุคคลทั่วไปเพียงคนเดียวไม่อาจทำได้ เนื่องด้วยการเปิดเผยเอกสารลับทางทหารและตำรวจเมื่อเดือนมีนาคม 2025 เราจึงสามารถระบุหน่วยงานที่ปฏิบัติการนี้ได้ กล่าวคือ สำนักงานตำรวจแห่งชาติและกองทัพไทย โดยเป็นการกระทำร่วม หรือหน่วยงานใดหน่วยงานหนึ่ง ปฏิบัติการชักจูงข้อมูล (Influence operation) โดยรัฐที่ประสบความสำเร็จแบบ JUICYJAM นี้ค่อนข้างพบได้ยาก โดยมีทั้งผู้ติดตามและยอดการมีส่วนร่วม (engagement) สูงในช่องทางต่างๆ กลยุทธ์ของปฏิบัติการ JUICYJAM ได้ช่วยสนับสนุนเครือข่ายปราบปรามฝ่ายประชาธิปไตยและการกลั่นแกล้งโดยกฎหมาย ซึ่งทางแพลทฟอร์มมักไม่ได้ดำเนินการเพื่อยับยั้งปฏิบัติการเหล่านี้ ทว่าเป็นภัยร้ายแรงต่อภาคประชาสังคมอย่างมีนัยสำคัญ

A sustained, coordinated social media harassment and doxxing campaign – which we codenamed JUICYJAM – targeting the pro-democracy movement in Thailand has run uninterrupted, and unchallenged, since at least August 2020. Through our analysis of public social media posts we determined that the campaign was not only inauthentic, but the information revealed could not have been reasonably sourced from a private individual.

المؤلفون: جيفري نوكل، جاكوب داليك، نورا الجيزاوي، محمد أحمد، ليفي ميليتي، وجاستن لاو. ملاحظة للقراء: هذا المستند هو ترجمة غير رسمية وهو نسخة مختصرة من التقرير الكامل تتضمن أقساماً مختارة. لذا يرجى الملاحظة أنه لا يشمل التحليل الشامل والمناقشات التفصيلية الموجودة في النسخة الأصلية. وكونه ترجمة غير رسمية، قد يحتوي على بعض الأخطاء أو التفسيرات… Read more »

We analyze the system Amazon deploys on the US “amazon.com” storefront to restrict shipments of certain products to specific regions. We found 17,050 products that Amazon restricted from being shipped to at least one world region. – While many of the shipping restrictions are related to regulations involving WiFi, car seats, and other heavily regulated product categories, the most common product category restricted by Amazon in our study was books.

As part of our ongoing project monitoring changes to Chinese search censorship, we tracked changes to censorship following Li Keqiang’s death across seven Internet platforms: Baidu, Baidu Zhidao, Bilibili, Microsoft Bing, Jingdong, Sogou, and Weibo. We found that some keyword combinations in search queries triggers hard censorship whereas others trigger soft censorship. Our results demonstrate China’s ongoing efforts to push state-sanctioned narratives concerning politically sensitive topics, impacting the integrity of the online information environment.

Legal researchers Cynthia Khoo and Kate Robertson warn that a Canada-U.S. CLOUD agreement would extend the reach of U.S. law enforcement into Canada’s digital terrain to an unprecedented extent, and that if signed, this agreement would effectively allow U.S. police to demand personal data directly from any provider of an “electronic communication service” or “remote computing service” in Canada, so long as it had some ties to the U.S.

This report provides a comprehensive guide to geolocation-related threats sourced from 3G, 4G, and 5G network operators. Case studies, references, examples, and evidence are provided to give a complete and contextual understanding of mobile network-based location tracking in order to formulate policies and actions that protect civil society from current and future geolocation surveillance.

Citizen Lab examined a set of documents leaked to news outlet The Intercept that describe plans to develop and launch an Iranian mobile network, including subscriber management operations and services, and integration with a legal intercept solution. If implemented fully as envisioned, it would enable state authorities to directly monitor, intercept, redirect, degrade or deny all Iranians’ mobile communications, including those who are presently challenging the regime.

New paper co-authored by researchers at the Citizen Lab and Princeton University explores the network security of Android apps.

Our network security analysis of the popular social media app, RedNote, revealed a number of issues with both the Android and iOS versions of the app.

微信是一款具有多种功能的应用程序。之前，我们研究了小程序的隐私问题及其监视以及审查文本和图像消息。本研究重点研究微信的网络加密协议及其安全性。

Findings from this study underscore that online and offline threats should not be viewed as separate phenomena, but rather as overlapping and mutually reinforcing.

Cyber Steward Network partner Asociación por los Derechos Civiles (ADC) will lead a public hearing at the 167 extraordinary period of session of the Inter-American Commission on Human Rights (IACHR). Taking place on February 28 at 11:30 am EST, the hearing is titled “Digital Intelligence, Cybersecurity, and Freedom of Expression in America”. The topics to be addressed in… Read more »

Cyber Stewards Network organization Sula Batsu Cooperativa has been honoured with a 2017 EQUALS in Tech Award. Presented at the Internet Governance Forum at the United Nations in December, Kemly Camacho– Sula Batsu Coordinator– accepted the award on behalf of the group. They were recognized in the Leadership category for their work to create women-led… Read more »