RedDelta distribuisce il malware PlugX per prendere di mira la Mongolia e Taiwan nelle campagne di spionaggio

RedDelta distribuisce il malware PlugX per prendere di mira la Mongolia e Taiwan nelle campagne di spionaggio
RedDelta distribuisce il malware PlugX per prendere di mira la Mongolia e Taiwan nelle campagne di spionaggio
-

Mongolia, Taiwan, Myanmar, Vietnam e Cambogia sono stati presi di mira dal gruppo criminale RedDelta, legato alla Cina, per fornire una versione personalizzata della backdoor PlugX tra luglio 2023 e dicembre 2024.

“Il gruppo ha utilizzato documenti di richiamo incentrati sul candidato presidenziale taiwanese del 2024 Terry Gou, sulla festa nazionale vietnamita, sulla protezione dalle inondazioni in Mongolia e su inviti a riunioni, incluso un incontro dell’Associazione delle nazioni del sud-est asiatico (ASEAN)”, ha detto Insikt Group di Recorded Future in un nuova analisi.

Si ritiene che l’autore della minaccia abbia compromesso il Ministero della Difesa mongolo nell’agosto 2024 e il Partito Comunista del Vietnam nel novembre 2024. Si dice anche che abbia preso di mira varie vittime in Malesia, Giappone, Stati Uniti, Etiopia, Brasile, Australia e India da settembre a dicembre 2024.

Sicurezza informatica

RedDelta, attivo almeno dal 2012, è il soprannome assegnato a un attore di minacce sponsorizzato dallo stato cinese. Viene anche monitorato dalla comunità della sicurezza informatica con i nomi BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (e il suo strettamente correlato Vertigo Panda), Red Lich, Stately Taurus, TA416 e Twill Typhoon.

La squadra di hacker è nota per perfezionare continuamente la propria catena di infezione, con recenti attacchi che hanno utilizzato come arma i tunnel di Visual Studio Code come parte di operazioni di spionaggio contro enti governativi nel sud-est asiatico, una tattica che viene sempre più adottata da vari gruppi di spionaggio legati alla Cina come l’Operazione Digital Eye e MirrorFace.

Il set di intrusioni documentato da Recorded Future prevede l’uso di file Windows Shortcut (LNK), Windows Installer (MSI) e Microsoft Management Console (MSC), probabilmente distribuiti tramite spear-phishing, come componente di prima fase per innescare la catena di infezione , portando infine alla distribuzione di PlugX utilizzando tecniche di caricamento laterale DLL.

Alcune campagne selezionate orchestrate alla fine dell’anno scorso si sono affidate anche a e-mail di phishing contenenti un collegamento a file HTML ospitati su Microsoft Azure come punto di partenza per attivare il download del payload MSC, che, a sua volta, scarica un programma di installazione MSI responsabile del caricamento di PlugX utilizzando un eseguibile legittimo vulnerabile al dirottamento dell’ordine di ricerca DLL.

In un ulteriore segno di evoluzione delle sue tattiche e di stare al passo con le difese di sicurezza, RedDelta è stato osservato utilizzare la rete di distribuzione dei contenuti (CDN) Cloudflare per proxyare il traffico di comando e controllo (C2) ai server C2 gestiti dagli aggressori. Questo viene fatto nel tentativo di confondersi con il traffico CDN legittimo e complicare gli sforzi di rilevamento.

Recorded Future ha affermato di aver identificato 10 server amministrativi che comunicano con due noti server RedDelta C2. Tutti i 10 indirizzi IP sono registrati presso China Unicom nella provincia di Henan.

Sicurezza informatica

“Le attività di RedDelta sono in linea con le priorità strategiche cinesi, concentrandosi su governi e organizzazioni diplomatiche nel sud-est asiatico, in Mongolia e in Europa”, ha affermato la società.

“Gli attacchi del gruppo focalizzati sull’Asia nel 2023 e nel 2024 rappresentano un ritorno al focus storico del gruppo dopo aver preso di mira le organizzazioni europee nel 2022. Gli attacchi di RedDelta contro Mongolia e Taiwan sono coerenti con gli attacchi passati del gruppo contro gruppi visti come minacce al potere del Partito Comunista Cinese .”

Lo sviluppo arriva nel contesto di un rapporto di Bloomberg secondo cui il recente attacco informatico contro il Dipartimento del Tesoro degli Stati Uniti è stato perpetrato da un altro gruppo di hacker noto come Silk Typhoon (aka Hafnium), precedentemente attribuito allo sfruttamento zero-day di quattro falle di sicurezza in Microsoft Exchange Server (noto anche come ProxyLogon) all’inizio del 2021.

Hai trovato interessante questo articolo? Seguici su Twitter e LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.

-

PREV “Grande imbarazzo”: ascolta la risposta in tribunale di Trump al processo di “caccia politica alle streghe” del giudice Merchan
NEXT I Sixers perdono contro i Pelicans dell’ospedale in una nuova imbarazzante sconfitta