Mongolië, Taiwan, Myanmar, Vietnam en Cambodja zijn het doelwit van de China-nexus RedDelta-bedreigingsacteur om tussen juli 2023 en december 2024 een aangepaste versie van de PlugX-achterdeur te leveren.
“De groep gebruikte lokdocumenten met als thema de Taiwanese presidentskandidaat Terry Gou in 2024, de Vietnamese nationale feestdag, de bescherming tegen overstromingen in Mongolië en uitnodigingen voor bijeenkomsten, waaronder een bijeenkomst van de Associatie van Zuidoost-Aziatische Naties (ASEAN),’ zei Insikt Group van Recorded Future in een nieuwe analyse.
Er wordt aangenomen dat de dreigingsactor in augustus 2024 het Mongoolse Ministerie van Defensie en in november 2024 de Communistische Partij van Vietnam in gevaar heeft gebracht. Er wordt ook gezegd dat hij zich op verschillende slachtoffers in Maleisië, Japan, de Verenigde Staten, Ethiopië, Brazilië, Australië en India heeft gericht. van september tot december 2024.
RedDelta, actief sinds minstens 2012, is de naam die wordt toegekend aan een door de staat gesponsorde dreigingsacteur uit China. Het wordt ook gevolgd door de cybersecuritygemeenschap onder de namen BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (en de nauw verwante Vertigo Panda), Red Lich, Stately Taurus, TA416 en Twill Typhoon.
De hackploeg staat bekend om het voortdurend verfijnen van de infectieketen, met recente aanvallen waarbij Visual Studio Code-tunnels worden bewapend als onderdeel van spionageoperaties gericht op overheidsinstanties in Zuidoost-Azië, een tactiek die steeds vaker wordt overgenomen door verschillende aan China gelieerde spionageclusters zoals Operation Digital Eye. en MirrorFace.
De door Recorded Future gedocumenteerde inbraak omvat het gebruik van Windows Shortcut (LNK), Windows Installer (MSI) en Microsoft Management Console (MSC)-bestanden, waarschijnlijk verspreid via spear-phishing, als de eerste fase die de infectieketen in gang zet. , wat uiteindelijk leidde tot de inzet van PlugX met behulp van DLL side-loading-technieken.
Bepaalde campagnes die eind vorig jaar werden georganiseerd, vertrouwden ook op phishing-e-mails met een link naar HTML-bestanden die op Microsoft Azure worden gehost als startpunt om het downloaden van de MSC-payload te activeren, die op zijn beurt een MSI-installatieprogramma laat vallen dat verantwoordelijk is voor het laden van PlugX met behulp van een legitiem uitvoerbaar bestand dat kwetsbaar is voor het kapen van DLL-zoekopdrachten.
Als verder teken van een evolutie van zijn tactiek en het voorblijven van de veiligheidsverdediging, is waargenomen dat RedDelta het Cloudflare content delivery network (CDN) gebruikt om command-and-control (C2) verkeer naar de door de aanvaller bediende C2-servers te proxyen. Dit wordt gedaan in een poging om op te gaan in legitiem CDN-verkeer en de detectie-inspanningen te bemoeilijken.
Recorded Future zei dat het tien administratieve servers heeft geïdentificeerd die communiceren met twee bekende RedDelta C2-servers. Alle tien IP-adressen zijn geregistreerd in de Chinese Unicom provincie Henan.
“De activiteiten van RedDelta sluiten aan bij de Chinese strategische prioriteiten, waarbij de nadruk ligt op regeringen en diplomatieke organisaties in Zuidoost-Azië, Mongolië en Europa”, aldus het bedrijf.
“De op Azië gerichte targeting van de groep in 2023 en 2024 vertegenwoordigt een terugkeer naar de historische focus van de groep nadat ze zich in 2022 op Europese organisaties had gericht. RedDelta’s targeting op Mongolië en Taiwan komt overeen met de eerdere targeting van de groep op groepen die worden gezien als een bedreiging voor de macht van de Chinese Communistische Partij. .”
De ontwikkeling komt te midden van een rapport van Bloomberg dat de recente cyberaanval gericht op het Amerikaanse ministerie van Financiën werd gepleegd door een collega-hackgroep bekend als Silk Typhoon (ook bekend als Hafnium), die eerder werd toegeschreven aan de zero-day exploitatie van vier beveiligingsfouten in Microsoft. Exchange Server (ook bekend als ProxyLogon) begin 2021.