Angrepene retter seg mot regjeringer, diplomatiske organisasjoner og aktivister.
RedDelta, en kinesisk statsstøttet hackergruppe, har mellom juli 2023 og desember 2024 angrepet Mongolia, Taiwan, Myanmar, Vietnam og Kambodsja med en tilpasset infeksjonskjede for å spre sitt PlugX-program. Dette rapporterte Insikt Group til RecordedFuture
RedDelta har siden 2023 utviklet nye metoder for sine angrep. I utgangspunktet brukte gruppen Windows-snarveifiler (LNK), men i 2024 gikk de over til å bruke Microsoft Management Console-filer (MSC).
Den nyeste metoden inkluderer phishing-lenker som leder ofre til eksterne HTML-filer lagret på Microsoft Azure (en nettsky database, journ.anm.). Gruppen bruker også Cloudflare-nettverk for å skjule trafikken sin og unngå oppdagelse.
Angrep på Mongolia og Taiwan
RedDelta skal ha kompromittert Mongolias forsvarsdepartement i august 2024 og Vietnams kommunistparti i november 2024. Lokkedokumentene har inkludert temaer som Taiwans presidentkandidat Terry Gou, vietnamesiske nasjonale høytider og møter i ASEAN. Selv om gruppen forsøkte å ramme Vietnams sikkerhetsdepartement, er det ingen bevis for at dette lykkes.
Les også: Kinesiske hackere sikter seg inn på amerikanske politikere
Fra september til desember 2024 ble mål også identifisert i Malaysia, Japan, USA, Etiopia, Brasil, Australia og India. Gruppens aktiviteter følger Kinas strategiske mål om å svekke opposisjon mot kommunistpartiet, særlig i nærområdene rundt Kina.
Historisk bakgrunn
RedDelta har vært aktiv siden 2012 og har tidligere angrepet blant annet Vatikanet og katolske organisasjoner før samtaler mellom Kina og Vatikanet. Gruppen har også rammet regjeringer og politiske aktører i India, Myanmar og Australia, samt NGO-er i Mongolia.
I 2022 fokuserte RedDelta på europeiske mål som en del av Kinas reaksjon på Russlands invasjon av Ukraina. Gruppen brukte arkivfiler som inneholdt ondsinnede snarveier og utnyttet DLL-hijacking for å kompromittere mål.
Forebyggende tiltak
For å beskytte seg mot RedDelta anbefales organisasjoner å:
- Bruke YARA- og Sigma-regler for å identifisere ondsinnede filer.
- Blokkere kjente IP-adresser og domener knyttet til gruppen.
- Holde programvare oppdatert og filtrere e-poster for mistenkelige vedlegg.
- Bruke tofaktorautentisering og begrense tilgangen til sensitiv informasjon.
Videre utvikling
Insikt Group forventer at RedDelta vil fortsette å tilpasse sine metoder for å følge globale geopolitiske utviklinger. Fokusområder vil være Sørøst-Asia og Kina-tilstøtende områder som Mongolia og Taiwan. Sannsynlige mål inkluderer regjeringer, NGO-er, aktivister og religiøse organisasjoner.
