Mongolia, Taiwán, Myanmar, Vietnam y Camboya han sido el objetivo del actor de amenazas RedDelta del nexo con China para ofrecer una versión personalizada de la puerta trasera PlugX entre julio de 2023 y diciembre de 2024.
“El grupo utilizó documentos señuelo relacionados con el candidato presidencial taiwanés de 2024, Terry Gou, la fiesta nacional vietnamita, la protección contra inundaciones en Mongolia e invitaciones a reuniones, incluida una reunión de la Asociación de Naciones del Sudeste Asiático (ASEAN)”, dijo Insikt Group de Recorded Future en un nuevo análisis.
Se cree que el actor de amenazas comprometió al Ministerio de Defensa de Mongolia en agosto de 2024 y al Partido Comunista de Vietnam en noviembre de 2024. También se dice que apuntó a varias víctimas en Malasia, Japón, Estados Unidos, Etiopía, Brasil, Australia e India. de septiembre a diciembre de 2024.
RedDelta, activo desde al menos 2012, es el apodo asignado a un actor de amenazas patrocinado por el estado de China. La comunidad de ciberseguridad también lo rastrea bajo los nombres BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (y su estrechamente relacionado Vertigo Panda), Red Lich, Stately Taurus, TA416 y Twill Typhoon.
El equipo de hackers es conocido por refinar continuamente su cadena de infección, con ataques recientes que utilizan túneles de Visual Studio Code como parte de operaciones de espionaje dirigidas a entidades gubernamentales en el Sudeste Asiático, una táctica que está siendo adoptada cada vez más por varios grupos de espionaje vinculados a China, como la Operación Digital Eye. y Cara de espejo.
El conjunto de intrusiones documentado por Recorded Future implica el uso de archivos de acceso directo de Windows (LNK), Windows Installer (MSI) y Microsoft Management Console (MSC), probablemente distribuidos mediante phishing, como componente de primera etapa para desencadenar la cadena de infección. , lo que en última instancia condujo a la implementación de PlugX utilizando técnicas de carga lateral de DLL.
Algunas campañas orquestadas a finales del año pasado también se han basado en correos electrónicos de phishing que contienen un enlace a archivos HTML alojados en Microsoft Azure como punto de partida para activar la descarga de la carga útil de MSC, que, a su vez, descarga un instalador de MSI responsable de cargar PlugX mediante un ejecutable legítimo que es vulnerable al secuestro de órdenes de búsqueda de DLL.
En una señal más de una evolución de sus tácticas y de mantenerse a la vanguardia de las defensas de seguridad, se ha observado que RedDelta utiliza la red de entrega de contenido (CDN) de Cloudflare para enviar el tráfico de comando y control (C2) a los servidores C2 operados por el atacante. Esto se hace en un intento de mezclarse con el tráfico CDN legítimo y complicar los esfuerzos de detección.
Recorded Future dijo que identificó 10 servidores administrativos que se comunicaban con dos servidores RedDelta C2 conocidos. Las 10 direcciones IP están registradas en China Unicom Henan Province.
“Las actividades de RedDelta se alinean con las prioridades estratégicas chinas, centrándose en gobiernos y organizaciones diplomáticas en el sudeste asiático, Mongolia y Europa”, dijo la compañía.
“Los ataques del grupo centrados en Asia en 2023 y 2024 representan un regreso al enfoque histórico del grupo después de atacar a organizaciones europeas en 2022. Los ataques de RedDelta a Mongolia y Taiwán son consistentes con los ataques anteriores del grupo a grupos vistos como amenazas al poder del Partido Comunista Chino. “.
El desarrollo se produce en medio de un informe de Bloomberg de que el reciente ciberataque dirigido al Departamento del Tesoro de EE. UU. fue perpetrado por un grupo de hackers conocido como Silk Typhoon (también conocido como Hafnium), que anteriormente se atribuyó a la explotación de día cero de cuatro fallas de seguridad en Microsoft. Exchange Server (también conocido como ProxyLogon) a principios de 2021.
Related News :