RedDelta, soutenu par l'État chinois, a ciblé Taïwan, la Mongolie et l'Asie du Sud-Est avec une chaîne d'infection PlugX modifiée

Summary:

Entre juillet 2023 et décembre 2024, Insikt Group a observé que le groupe RedDelta, parrainé par l'État chinois, ciblait la Mongolie, Taïwan, le Myanmar, le Vietnam et le Cambodge avec une chaîne d'infection adaptée pour distribuer sa porte dérobée PlugX personnalisée. Le groupe a utilisé des documents sur le thème du candidat à la présidence taïwanaise de 2024, Terry Gou, de la fête nationale vietnamienne, de la protection contre les inondations en Mongolie et des invitations à des réunions, notamment une réunion de l'Association des nations de l'Asie du Sud-Est (ANASE). RedDelta a probablement compromis le ministère de la Défense de Mongolie en août 2024 et le Parti communiste du Vietnam en novembre 2024. Le groupe a mené une attaque de spearphishing ciblant le ministère vietnamien de la Sécurité publique, mais Insikt Group n'a observé aucune preuve de compromission réussie. De septembre à décembre 2024, RedDelta a probablement ciblé des victimes en Malaisie, au Japon, aux États-Unis, en Éthiopie, au Brésil, en Australie et en Inde.

Fin 2023, RedDelta a fait évoluer la première étape de sa chaîne d'infection pour exploiter un fichier Windows Shortcut (LNK) probablement transmis par spearphishing. En 2024, le groupe a commencé à utiliser les fichiers MSC (Microsoft Management Console Snap-In Control). Plus récemment, RedDelta a utilisé des liens de spearphishing pour inciter une victime à charger un fichier HTML hébergé à distance sur Microsoft Azure. Depuis juillet 2023, RedDelta utilise régulièrement le réseau de distribution de contenu (CDN) Cloudflare pour acheminer le trafic de commande et de contrôle (C2), ce qui permet au groupe de se fondre dans le trafic CDN légitime et de compliquer l'identification des victimes. D'autres groupes parrainés par l'État, dont le groupe russe BlueAlpha, ont également utilisé Cloudflare pour échapper à la détection.

Les activités de RedDelta s'alignent sur les priorités stratégiques chinoises, en se concentrant sur les gouvernements et les organisations diplomatiques en Asie du Sud-Est, en Mongolie et en Europe. Le ciblage du groupe sur l'Asie en 2023 et 2024 représente un retour à l'orientation historique du groupe après le ciblage des organisations européennes en 2022. Le ciblage de la Mongolie et de Taïwan par RedDelta est cohérent avec le ciblage passé par le groupe de groupes considérés comme des menaces pour le pouvoir du parti communiste chinois.

À propos de RedDelta :

RedDelta est actif depuis au moins 2012 et s'est concentré sur l'Asie du Sud-Est et la Mongolie. Le groupe a régulièrement adapté son ciblage en fonction des événements géopolitiques mondiaux. RedDelta a ciblé le Vatican et d'autres organisations catholiques avec PlugX avant les négociations de 2021 entre la Chine et le Vatican. Le groupe a compromis les forces de l'ordre et des entités gouvernementales en Inde, une organisation gouvernementale en Indonésie et d'autres cibles au Myanmar, à Hong Kong et en Australie.

En 2022, RedDelta s'est orienté vers un ciblage accru des entités gouvernementales et diplomatiques européennes à la suite de l'invasion de l'Ukraine par la Russie. Cette activité a utilisé une chaîne d'infection qui a commencé par la diffusion d'un fichier d'archive (ZIP, RAR ou ISO), probablement transmis par spearphishing. Le fichier contenait un raccourci Windows (LNK) déguisé avec une double extension (telle que .doc.lnk) et une icône Microsoft Word. Les dossiers cachés de l'archive contenaient trois fichiers utilisés pour pirater l'ordre de recherche des bibliothèques de liens dynamiques (DLL) : un binaire légitime, un chargeur de DLL malveillant et une charge utile PlugX chiffrée qui était au final chargée dans la mémoire. L'exécution par l'utilisateur du fichier de raccourcis a entraîné le détournement de l'ordre de recherche des DLL. En novembre 2022, RedDelta a fait évoluer ses tactiques pour héberger le fichier ISO sur un domaine contrôlé par un acteur de menace.

En mars 2023, Insikt Group a découvert que RedDelta ciblait la Mongolie à l'aide d'une chaîne d'infection similaire qui commençait par un fichier conteneur (RAR, ZIP, ISO) constitué d'un fichier LNK qui déclenchait une triade de détournement d'ordre de recherche DLL située dans un sous-répertoire imbriqué caché. Parmi les documents leurres figuraient une invitation de l'Association mondiale de Mongolie et un document prétendant être une interview de la BBC sur le bouddhisme tibétain et la Mongolie. RedDelta a ciblé :

• Des membres de plusieurs organisations non gouvernementales (ONG) mongoles, y compris une ONG de défense des droits de l'homme et de la démocratie axée sur la région autonome de Mongolie-intérieure
• Des activistes bouddhistes mongols en Mongolie et au Japon
• Des professionnels de l'enseignement en Mongolie et au Japon
• Des développeurs de deux applications mobiles mongoliennes

Mesures d'atténuation :

Pour détecter et atténuer l'activité de RedDelta, les organisations doivent :

• Utiliser les règles YARA et Sigma fournies par Insikt Group pour détecter les fichiers RedDelta Windows Installer (MSI), DLL et LNK (voir ci-dessous).
• Configurer les systèmes de détection d'intrusion (IDS), les systèmes de prévention d'intrusion (IPS) et d'autres mécanismes de défense réseau pour alerter ou bloquer les tentatives de connexion provenant d'adresses IP externes et de domaines associés à RedDelta (voir ci-dessous).
• Maintenir à jour les logiciels et les applications, en particulier les systèmes d'exploitation, les logiciels antivirus et les logiciels utilitaires système de base.
• Filter email correspondence and scrutinize attachments for malware.
• Effectuer des sauvegardes régulières du système et stockez-les hors ligne et hors site pour vous assurer qu'elles ne sont pas accessibles via le réseau.
• Respecter un cloisonnement strict des données sensibles de l'entreprise, mettre en place un accès basé sur les rôles et limiter l'accès aux données à l'échelle de l'entreprise.
• Déployer des fonctions de journalisation des hôtes et de détection des intrusions basées sur le client afin d'identifier et de contrecarrer les attaques à un stade précoce.
• Empêcher les acteurs de la menace de contourner la sécurité en désactivant les méthodes d'authentification obsolètes.
• Mettre en œuvre des outils tels que les IDS de réseau, la collecte NetFlow, la journalisation des hôtes et les proxy Web, ainsi que la surveillance manuelle des sources de détection.
• Pratiquer la segmentation du réseau et vous assurer que des protections spéciales existent pour les informations sensibles, telles que l'authentification multifactorielle et l'accès restreint.

Tirer parti du module Recorded Future® Third-Party Intelligence et de l'extension de navigateur Threat Intelligence pour une surveillance en temps réel et une correction prioritaire des vulnérabilités.

Consulter les directives publiques (1, 2, 3, 4) et le rapport d'Insikt Group « Charting China's Climb as a Leading Global Cyber Power » pour obtenir des recommandations détaillées sur la manière d'atténuer les activités de la Chine en matière de menaces persistantes avancées de manière plus générale.

Perspectives :

Insikt Group s'attend à ce que RedDelta continue à cibler les organisations du monde entier avec sa porte dérobée PlugX personnalisée, en se concentrant sur l'Asie du Sud-Est et la périphérie de la Chine, notamment la Mongolie et Taïwan. Les cibles probables comprennent les gouvernements, les ONG, les activistes et les organisations religieuses. RedDelta a continuellement fait évoluer sa chaîne d'infection et devrait continuer à le faire à l'avenir en réponse aux développements géopolitiques majeurs.

To read the entire analysis, click here to download the report as a PDF.

Appendix A — Indicators of Compromise

Appendix B — MITRE ATT&CK Techniques

Annexe C — Règles YARA et Sigma

Les règles YARA et Sigma sont disponibles dans le rapport complet ici.