La Mongolie, Taïwan, le Myanmar, le Vietnam et le Cambodge ont été ciblés par l’acteur menaçant RedDelta, lié à la Chine, pour fournir une version personnalisée de la porte dérobée PlugX entre juillet 2023 et décembre 2024.
“Le groupe a utilisé des documents leurres sur le thème du candidat présidentiel taïwanais de 2024, Terry Gou, de la fête nationale vietnamienne, de la protection contre les inondations en Mongolie et des invitations à des réunions, y compris une réunion de l’Association des nations de l’Asie du Sud-Est (ASEAN),” a déclaré le groupe Insikt de Recorded Future dans un communiqué. nouvelle analyse.
On pense que l’acteur menaçant a compromis le ministère mongol de la Défense en août 2024 et le Parti communiste du Vietnam en novembre 2024. Il aurait également ciblé diverses victimes en Malaisie, au Japon, aux États-Unis, en Éthiopie, au Brésil, en Australie et en Inde. de septembre à décembre 2024.
RedDelta, actif depuis au moins 2012, est le surnom attribué à un acteur menaçant parrainé par l’État chinois. Il est également suivi par la communauté de la cybersécurité sous les noms BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (et son proche parent Vertigo Panda), Red Lich, Stately Taurus, TA416 et Twill Typhoon.
L’équipe de hackers est connue pour affiner continuellement sa chaîne d’infection, avec des attaques récentes militarisant les tunnels Visual Studio Code dans le cadre d’opérations d’espionnage ciblant des entités gouvernementales en Asie du Sud-Est, une tactique de plus en plus adoptée par divers clusters d’espionnage liés à la Chine tels que Operation Digital Eye. et MirrorFace.
L’ensemble d’intrusions documenté par Recorded Future implique l’utilisation de fichiers Windows Shortcut (LNK), Windows Installer (MSI) et Microsoft Management Console (MSC), probablement distribués via spear phishing, comme composant de première étape pour déclencher la chaîne d’infection. , conduisant finalement au déploiement de PlugX à l’aide de techniques de chargement latéral de DLL.
Certaines campagnes orchestrées à la fin de l’année dernière se sont également appuyées sur des e-mails de phishing contenant un lien vers des fichiers HTML hébergés sur Microsoft Azure comme point de départ pour déclencher le téléchargement de la charge utile MSC, qui, à son tour, supprime un programme d’installation MSI chargé de charger PlugX à l’aide d’un exécutable légitime vulnérable au détournement des ordres de recherche de DLL.
Autre signe d’une évolution de ses tactiques et d’une longueur d’avance sur les défenses de sécurité, RedDelta a été observé en train d’utiliser le réseau de diffusion de contenu (CDN) Cloudflare pour transmettre le trafic de commande et de contrôle (C2) aux serveurs C2 exploités par les attaquants. Ceci est fait dans le but de se fondre dans le trafic CDN légitime et de compliquer les efforts de détection.
Recorded Future a déclaré avoir identifié 10 serveurs administratifs communiquant avec deux serveurs RedDelta C2 connus. Les 10 adresses IP sont enregistrées dans la province de China Unicom Henan.
« Les activités de RedDelta s’alignent sur les priorités stratégiques chinoises, en se concentrant sur les gouvernements et les organisations diplomatiques d’Asie du Sud-Est, de Mongolie et d’Europe », a indiqué la société.
« Le ciblage du groupe sur l’Asie en 2023 et 2024 représente un retour à l’orientation historique du groupe après avoir ciblé des organisations européennes en 2022. Le ciblage par RedDelta de la Mongolie et de Taiwan est cohérent avec le ciblage passé du groupe de groupes considérés comme des menaces pour le pouvoir du Parti communiste chinois. .»
Cette évolution intervient au milieu d’un rapport de Bloomberg selon lequel la récente cyberattaque visant le département du Trésor américain a été perpétrée par un autre groupe de piratage connu sous le nom de Silk Typhoon (alias Hafnium), qui avait été précédemment attribuée à l’exploitation Zero Day de quatre failles de sécurité dans Microsoft. Exchange Server (alias ProxyLogon) début 2021.
Related News :