Mongolia, Taiwan, Myanmar, Vietnam, dan Kamboja telah menjadi sasaran aktor ancaman RedDelta China-nexus untuk memberikan versi pintu belakang PlugX yang disesuaikan antara Juli 2023 dan Desember 2024.
“Kelompok ini menggunakan dokumen iming-iming bertema calon presiden Taiwan tahun 2024 Terry Gou, Hari Libur Nasional Vietnam, perlindungan banjir di Mongolia, dan undangan pertemuan, termasuk pertemuan Perhimpunan Bangsa-Bangsa Asia Tenggara (ASEAN),” kata Insikt Group dari Recorded Future dalam sebuah pernyataan. analisis baru.
Aktor ancaman tersebut diyakini telah menyusup ke Kementerian Pertahanan Mongolia pada Agustus 2024 dan Partai Komunis Vietnam pada November 2024. Mereka juga dikatakan menargetkan berbagai korban di Malaysia, Jepang, Amerika Serikat, Ethiopia, Brasil, Australia, dan India. dari September hingga Desember 2024.
RedDelta, yang aktif setidaknya sejak tahun 2012, adalah julukan yang diberikan kepada aktor ancaman yang disponsori negara dari Tiongkok. Itu juga dilacak oleh komunitas keamanan siber dengan nama BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (dan kerabat dekatnya Vertigo Panda), Red Lich, Stately Taurus, TA416, dan Twill Typhoon.
Kelompok peretas dikenal karena terus menyempurnakan rantai infeksinya, dengan serangan baru-baru ini yang mempersenjatai terowongan Visual Studio Code sebagai bagian dari operasi spionase yang menargetkan entitas pemerintah di Asia Tenggara, sebuah taktik yang semakin banyak diadopsi oleh berbagai kelompok spionase yang terkait dengan Tiongkok seperti Operation Digital Eye dan CerminFace.
Kumpulan intrusi yang didokumentasikan oleh Recorded Future memerlukan penggunaan file Windows Shortcut (LNK), Windows Installer (MSI), dan Microsoft Management Console (MSC), yang kemungkinan didistribusikan melalui spear-phishing, sebagai komponen tahap pertama yang memicu rantai infeksi. , yang pada akhirnya mengarah pada penerapan PlugX menggunakan teknik pemuatan samping DLL.
Kampanye tertentu yang dirancang akhir tahun lalu juga mengandalkan email phishing yang berisi tautan ke file HTML yang dihosting di Microsoft Azure sebagai titik awal untuk memicu pengunduhan muatan MSC, yang, pada gilirannya, menghapus penginstal MSI yang bertanggung jawab untuk memuat PlugX menggunakan a executable sah yang rentan terhadap pembajakan perintah pencarian DLL.
Sebagai tanda lebih lanjut dari evolusi taktiknya dan tetap terdepan dalam pertahanan keamanan, RedDelta telah diamati menggunakan jaringan pengiriman konten (CDN) Cloudflare untuk mem-proxy lalu lintas perintah dan kontrol (C2) ke server C2 yang dioperasikan penyerang. Hal ini dilakukan sebagai upaya untuk berbaur dengan lalu lintas CDN yang sah dan mempersulit upaya deteksi.
Recorded Future mengatakan pihaknya mengidentifikasi 10 server administratif yang berkomunikasi dengan dua server RedDelta C2 yang dikenal. Semua 10 alamat IP terdaftar di China Unicom Provinsi Henan.
“Aktivitas RedDelta sejalan dengan prioritas strategis Tiongkok, dengan fokus pada pemerintah dan organisasi diplomatik di Asia Tenggara, Mongolia, dan Eropa,” kata perusahaan itu.
“Penargetan kelompok ini yang berfokus pada Asia pada tahun 2023 dan 2024 mewakili kembalinya fokus historis kelompok tersebut setelah menargetkan organisasi-organisasi Eropa pada tahun 2022. Penargetan RedDelta di Mongolia dan Taiwan konsisten dengan penargetan kelompok tersebut di masa lalu terhadap kelompok-kelompok yang dianggap sebagai ancaman terhadap kekuatan Partai Komunis Tiongkok. .”
Perkembangan ini terjadi di tengah laporan dari Bloomberg bahwa serangan cyber baru-baru ini yang menargetkan Departemen Keuangan AS dilakukan oleh sesama kelompok peretas yang dikenal sebagai Silk Typhoon (alias Hafnium), yang sebelumnya dikaitkan dengan eksploitasi zero-day terhadap empat kelemahan keamanan di Microsoft. Exchange Server (alias ProxyLogon) pada awal tahun 2021.
