RedDelta implanta Malware PlugX para espionagem em campanhas contra mongólia e Taiwan

Entre julho de 2023 e dezembro de 2024, o grupo hacker RedDelta, com ligações à China, direcionou ataques contra Mongólia, Taiwan, Mianmar, Vietnã e Camboja, utilizando uma versão personalizada do malware PlugX.

"Os ataques exploraram documentos de isca com temas como o candidato presidencial taiwanês de 2024 Terry Gou, o feriado nacional vietnamita, proteção contra enchentes na Mongólia e convites para reuniões, incluindo eventos da Associação das Nações do Sudeste Asiático (ASEAN)", detalhou o Insikt Group da Recorded Future em uma nova análise.

O grupo supostamente comprometeu o Ministério da Defesa da Mongólia em agosto de 2024 e o Partido Comunista do Vietnã em novembro de 2024. Outras vítimas foram identificadas em países como Malásia, Japão, Estados Unidos, Etiópia, Brasil, Austrália e Índia entre setembro e dezembro de 2024.

Ativo desde pelo menos 2012, o RedDelta é um grupo hacker financiado pelo Estado chinês. A comunidade de cibersegurança o rastreia também sob os nomes BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda, Red Lich, Stately Taurus, TA416 e Twill Typhoon.

O grupo é conhecido por aperfeiçoar continuamente sua cadeia de infecção. Ataques recentes empregaram túneis do Visual Studio Code em operações de espionagem contra entidades governamentais no Sudeste Asiático, uma tática adotada por outros grupos de espionagem chineses, como Operation Digital Eye e MirrorFace.

A análise da Recorded Future descreveu o uso de arquivos de atalho do Windows (LNK), instaladores do Windows (MSI) e arquivos de console de gerenciamento do Windows (MSC), distribuídos via spear-phishing, como o componente inicial para desencadear a cadeia de infecção. O objetivo final era implantar o malware PlugX por meio de técnicas de DLL side-loading.

Campanhas realizadas no final de 2024 também usaram e-mails de phishing com links para arquivos HTML hospedados no Microsoft Azure. Esses links ativavam o download de um payload MSC, que, por sua vez, executava um instalador MSI para carregar o PlugX usando um executável legítimo vulnerável ao hijacking da ordem de busca de DLLs.

Evoluindo suas táticas para superar as defesas de segurança, o RedDelta foi observado utilizando a rede de entrega de conteúdo (CDN) da Cloudflare para intermediar o tráfego de comando e controle (C2) com os servidores controlados pelo grupo. Essa estratégia ajuda a camuflar o tráfego malicioso como se fosse legítimo, dificultando a detecção.

A Recorded Future identificou 10 servidores administrativos comunicando-se com dois servidores de C2 conhecidos do RedDelta. Todos os endereços IP foram registrados na China Unicom, na província de Henan.

"As atividades do RedDelta estão alinhadas com as prioridades estratégicas da China, focando em governos e organizações diplomáticas no Sudeste Asiático, Mongólia e Europa", destacou a empresa. "A concentração do grupo na Ásia em 2023 e 2024 representa um retorno ao seu foco histórico, após ter direcionado ataques a organizações europeias em 2022. O alvo na Mongólia e em Taiwan reflete a consistência do RedDelta em mirar grupos vistos como ameaças ao poder do Partido Comunista Chinês."

O relatório surge paralelamente à notícia divulgada pela Bloomberg de que o ataque cibernético recente ao Departamento do Tesouro dos EUA foi realizado pelo grupo Silk Typhoon (também conhecido como Hafnium), anteriormente associado à exploração de zero-days no Microsoft Exchange Server (ProxyLogon) no início de 2021.

Via - THN