Die Mongolei, Taiwan, Myanmar, Vietnam und Kambodscha wurden vom China-Nexus-Bedrohungsakteur RedDelta ins Visier genommen, um zwischen Juli 2023 und Dezember 2024 eine angepasste Version der PlugX-Hintertür bereitzustellen.
„Die Gruppe nutzte Lockdokumente zu Themen rund um den taiwanesischen Präsidentschaftskandidaten Terry Gou für 2024, den vietnamesischen Nationalfeiertag, den Hochwasserschutz in der Mongolei und Einladungen zu Treffen, darunter ein Treffen der Vereinigung Südostasiatischer Nationen (ASEAN),“ sagte Insikt Group von Recorded Future in einem neue Analyse.
Es wird angenommen, dass der Bedrohungsakteur im August 2024 das Verteidigungsministerium der Mongolei und im November 2024 die Kommunistische Partei Vietnams kompromittiert hat. Außerdem soll er verschiedene Opfer in Malaysia, Japan, den Vereinigten Staaten, Äthiopien, Brasilien, Australien und Indien ins Visier genommen haben von September bis Dezember 2024.
RedDelta, seit mindestens 2012 aktiv, ist der Spitzname, der einem staatlich geförderten Bedrohungsakteur aus China zugewiesen wird. Es wird auch von der Cybersicherheits-Community unter den Namen BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (und seinem eng verwandten Vertigo Panda), Red Lich, Stately Taurus, TA416 und Twill Typhoon verfolgt.
Die Hacker-Crew ist dafür bekannt, ihre Infektionskette kontinuierlich zu verfeinern. Bei den jüngsten Angriffen wurden Visual Studio Code-Tunnel im Rahmen von Spionageoperationen gegen Regierungsstellen in Südostasien als Waffe eingesetzt, eine Taktik, die zunehmend von verschiedenen mit China verbundenen Spionageclustern wie Operation Digital Eye übernommen wird und MirrorFace.
Der von Recorded Future dokumentierte Eindringlingssatz beinhaltet die Verwendung von Windows Shortcut (LNK), Windows Installer (MSI) und Microsoft Management Console (MSC)-Dateien, die wahrscheinlich über Spear-Phishing verbreitet werden, als erste Komponente zum Auslösen der Infektionskette Dies führte letztendlich zur Bereitstellung von PlugX mithilfe von DLL-Seitenladetechniken.
Ausgewählte Kampagnen, die Ende letzten Jahres inszeniert wurden, stützten sich auch auf Phishing-E-Mails mit einem Link zu auf Microsoft Azure gehosteten HTML-Dateien als Ausgangspunkt, um den Download der MSC-Nutzlast auszulösen, was wiederum ein MSI-Installationsprogramm ablegt, das für das Laden von PlugX mit einem verantwortlich ist legitime ausführbare Datei, die anfällig für die Übernahme der DLL-Suchreihenfolge ist.
Als weiteres Zeichen dafür, dass RedDelta seine Taktiken weiterentwickelt und seinen Sicherheitsmaßnahmen immer einen Schritt voraus ist, wurde beobachtet, dass RedDelta das Content Delivery Network (CDN) von Cloudflare nutzt, um den Command-and-Control-Verkehr (C2) an die vom Angreifer betriebenen C2-Server weiterzuleiten. Dadurch soll versucht werden, sich in den legitimen CDN-Verkehr einzumischen und die Erkennungsbemühungen zu erschweren.
Recorded Future sagte, es habe 10 Verwaltungsserver identifiziert, die mit zwei bekannten RedDelta C2-Servern kommunizieren. Alle 10 IP-Adressen sind bei China Unicom in der Provinz Henan registriert.
„Die Aktivitäten von RedDelta stehen im Einklang mit den strategischen Prioritäten Chinas und konzentrieren sich auf Regierungen und diplomatische Organisationen in Südostasien, der Mongolei und Europa“, sagte das Unternehmen.
„Die auf Asien ausgerichtete Ausrichtung der Gruppe in den Jahren 2023 und 2024 stellt eine Rückkehr zum historischen Fokus der Gruppe dar, nachdem sie im Jahr 2022 europäische Organisationen ins Visier genommen hatte. Die Ausrichtung von RedDelta auf die Mongolei und Taiwan steht im Einklang mit der früheren Ausrichtung der Gruppe auf Gruppen, die als Bedrohung für die Macht der Kommunistischen Partei Chinas angesehen werden.“ .”
Die Entwicklung erfolgt inmitten eines Berichts von Bloomberg, dass der jüngste Cyberangriff auf das US-Finanzministerium von einer anderen Hackergruppe namens Silk Typhoon (auch bekannt als Hafnium) verübt wurde, was zuvor auf die Zero-Day-Ausnutzung von vier Sicherheitslücken bei Microsoft zurückgeführt wurde Exchange Server (auch bekannt als ProxyLogon) Anfang 2021.
