Een waarschijnlijk aan China gelieerde, door de staat gesponsorde dreigingsactoren zijn tussen november 2023 en april 2024 in verband gebracht met een cyberspionagecampagne gericht op overheids-, academische, technologie- en diplomatieke organisaties in Taiwan.
De Insikt Group van Recorded Future volgt de activiteit onder de naam RoodJuliett, waarin het wordt beschreven als een cluster dat Fuzhou, China, exploiteert ter ondersteuning van de doelstellingen van Peking voor het verzamelen van inlichtingen met betrekking tot het Oost-Aziatische land. Het wordt ook gevolgd onder de namen Flax Typhoon en Ethereal Panda.
Andere landen die het doelwit zijn van het vijandige collectief zijn Djibouti, Hong Kong, Kenia, Laos, Maleisië, de Filippijnen, Rwanda, Zuid-Korea en de VS.
In totaal is waargenomen dat maar liefst 24 slachtofferorganisaties communiceerden met de infrastructuur van de dreigingsactoren, waaronder overheidsinstanties in Taiwan, Laos, Kenia en Rwanda. Er wordt ook geschat dat het ten minste 75 Taiwanese entiteiten als doelwit heeft genomen voor bredere verkenning en vervolgexploitatie.
“De groep richt zich op internetgerichte apparaten zoals firewalls, load balancers en VPN-producten voor zakelijke virtuele particuliere netwerken voor initiële toegang, evenals pogingen tot gestructureerde querytaal-SQL-injectie en directory traversal-exploits tegen web- en SQL-applicaties”, aldus het bedrijf in een nieuw rapport dat vandaag is gepubliceerd.
Zoals eerder gedocumenteerd door CrowdStrike en Microsoft, is het bekend dat RedJuliett de open-source software SoftEther gebruikt om kwaadaardig verkeer uit slachtoffernetwerken te tunnelen en gebruik te maken van living-off-the-land (LotL)-technieken om onder de radar te blijven. De groep zou in ieder geval sinds medio 2021 actief zijn.
“Bovendien gebruikte RedJuliett SoftEther om de operationele infrastructuur te beheren, bestaande uit zowel door bedreigingsactor gecontroleerde servers gehuurd van VPS-providers voor virtuele privéservers als gecompromitteerde infrastructuur van drie Taiwanese universiteiten”, aldus Recorded Future.
Een succesvolle eerste toegang wordt gevolgd door de inzet van de China Chopper-webshell om de persistentie te behouden, naast andere open-source webshells zoals devilzShell, AntSword en Godzilla. In enkele gevallen is ook misbruik gemaakt van een kwetsbaarheid voor escalatie van Linux-privileges, bekend als DirtyCow (CVE-2016-5195).
“RedJuliett is waarschijnlijk geïnteresseerd in het verzamelen van informatie over het economische beleid van Taiwan en de handels- en diplomatieke betrekkingen met andere landen”, aldus het rapport.
“RedJuliett richt zich, net als veel andere Chinese bedreigingsactoren, waarschijnlijk op kwetsbaarheden in internetgerichte apparaten, omdat deze apparaten een beperkte zichtbaarheid en beveiligingsoplossingen hebben, en het aanvallen ervan is een effectieve manier gebleken om de initiële toegang te schalen.”