Mongólia, Taiwan, Mianmar, Vietnã e Camboja foram alvos do ator de ameaças RedDelta, ligado à China, para entregar uma versão personalizada do backdoor PlugX entre julho de 2023 e dezembro de 2024.
"O grupo utilizou documentos isca relacionados ao candidato presidencial taiwanês de 2024, Terry Gou, ao feriado nacional vietnamita, proteção contra inundações na Mongólia e convites para reuniões, incluindo uma reunião da Associação de Nações do Sudeste Asiático (ASEAN)", disse o Insikt Group da Recorded Future em uma nova análise.
Acredita-se que o ator de ameaças comprometeu o Ministério da Defesa da Mongólia em agosto de 2024 e o Partido Comunista do Vietnã em novembro de 2024.
Diz-se também que visou várias vítimas na Malásia, Japão, Estados Unidos, Etiópia, Brasil, Austrália e Índia de setembro a dezembro de 2024.
RedDelta, ativo desde pelo menos 2012, é o codinome atribuído a um ator de ameaça patrocinado pelo estado da China.
Também é rastreado pela comunidade de cibersegurança sob os nomes BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (e seu correlato próximo Vertigo Panda), Red Lich, Stately Taurus, TA416 e Twill Typhoon.
A equipe de hackers é conhecida por refinar continuamente sua cadeia de infecção, com ataques recentes utilizando túneis do Visual Studio Code como parte de operações de espionagem visando entidades governamentais no Sudeste Asiático, uma tática que está sendo cada vez mais adotada por vários grupos de espionagem ligados à China, como Operation Digital Eye e MirrorFace.
O conjunto de intrusões documentado pela Recorded Future envolve o uso de arquivos Windows Shortcut (LNK), Windows Installer (MSI) e Microsoft Management Console (MSC), provavelmente distribuídos via spear-phishing, como o componente inicial para desencadear a cadeia de infecção, levando finalmente à implantação do PlugX usando técnicas de side-loading de DLL.
Campanhas selecionadas no final do ano passado também contaram com emails de phishing contendo um link para arquivos HTML hospedados no Microsoft Azure como ponto de partida para acionar o download do payload MSC, que, por sua vez, solta um instalador MSI responsável por carregar o PlugX usando um executável legítimo vulnerável à hijacking de ordem de busca DLL.
Em um sinal adicional da evolução de suas táticas e para permanecer à frente das defesas de segurança, a RedDelta foi observada usando a rede de entrega de conteúdo (CDN) Cloudflare para encaminhar tráfego de comando e controle (C2) para os servidores C2 operados pelo atacante.
Isso é feito na tentativa de se misturar ao tráfego legítimo de CDN e complicar os esforços de detecção.
A Recorded Future disse que identificou 10 servidores administrativos se comunicando com dois servidores C2 conhecidos da RedDelta.
Todos os 10 endereços IP estão registrados na China Unicom, província de Henan.
"As atividades da RedDelta estão alinhadas com as prioridades estratégicas chinesas, focando em governos e organizações diplomáticas no Sudeste Asiático, Mongólia e Europa", disse a empresa.
O foco da RedDelta na Ásia em 2023 e 2024 representa um retorno ao foco histórico do grupo após visar organizações europeias em 2022.
O foco da RedDelta na Mongólia e em Taiwan está consistente com o histórico do grupo de visar grupos vistos como ameaças ao poder do Partido Comunista Chinês. Esse desenvolvimento ocorre em meio a um relatório da Bloomberg de que o recente ataque cibernético visando o Departamento do Tesouro dos EUA foi perpetrado por um grupo de hackers conhecido como Silk Typhoon (também conhecido como Hafnium), que anteriormente foi atribuído à exploração de zero-day de quatro falhas de segurança no Microsoft Exchange Server (conhecido como ProxyLogon) no início de 2021.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...