RedDelta zielt auf europäische Regierungsorganisationen ab und entwickelt weiterhin eine benutzerdefinierte PlugX-Variante

Anmerkung des Herausgebers: Dies ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

In diesem Bericht werden die jüngsten Aktivitäten der vermutlich vom chinesischen Staat gesponserten Bedrohungsgruppe RedDelta detailliert beschrieben. Die Aktivität wurde durch eine Kombination aus groß angelegter automatisierter Netzwerkverkehrsanalyse und Expertenanalyse identifiziert. Dieser Bericht dürfte vor allem für Einzelpersonen und Organisationen von Interesse sein, die strategische und operative Informationen über chinesische Cyberbedrohungen benötigen, sowie für Netzwerkverteidiger in Regierungsorganisationen in Südostasien und Europa.

Executive Summary

Die Insikt Group von Recorded Future verfolgt weiterhin Aktivitäten, die wir der vermutlich vom chinesischen Staat gesponserten Bedrohungsgruppe RedDelta zuschreiben, die mithilfe einer angepassten Variante der PlugX-Hintertür auf Organisationen in Europa und Südostasien abzielt. RedDelta ist seit mindestens 2019 durchgehend in Südostasien aktiv, insbesondere in Myanmar und Vietnam, hat seine Zielsetzungen jedoch auch regelmäßig an globale geopolitische Ereignisse angepasst. Historisch wurde dies deutlich durch die gezielten Angriffe der Gruppe auf den Vatikan und andere katholische Organisationen im Vorfeld der Gespräche zwischen der Kommunistischen Partei Chinas (KPCh) und Vertretern des Vatikans im Jahr 2021 [1,2]. Im Laufe des Jahres 2022 ging die Gruppe nach der Invasion Russlands in der Ukraine außerdem dazu über, verstärkt europäische Regierungen und diplomatische Einrichtungen ins Visier zu nehmen.

Während des dreimonatigen Zeitraums von September bis November 2022 hat RedDelta regelmäßig eine Infektionskette eingesetzt, bei der bösartige Verknüpfungsdateien (LNK) verwendet wurden, die eine Ausführungskette zur Suchreihenfolge-Entführung einer Dynamic Link Library (DLL) auslösen, um ständig aktualisierte PlugX-Versionen zu laden. Während dieser Zeit verwendete die Gruppe wiederholt Scheindokumente zur Regierungs- und Migrationspolitik in Europa. Bemerkenswert ist, dass wir Anfang August 2022 ein auf den Handel spezialisiertes europäisches Regierungsministerium identifiziert haben, das mit der Kommando- und Kontrollinfrastruktur (C2) von RedDelta kommuniziert. Diese Aktivität begann am selben Tag, an dem ein RedDelta PlugX-Beispiel, das diese C2-Infrastruktur nutzte und ein Lockvogeldokument mit EU-Handelsthema enthielt, in öffentlichen Malware-Repositorys auftauchte. Wir haben außerdem weitere mögliche Opfer in Myanmar und Vietnam identifiziert, die regelmäßig mit der C2-Infrastruktur von RedDelta kommunizieren.

Es gibt große Überschneidungen zwischen RedDelta und der öffentlichen Branchenberichterstattung unter den Pseudonymen BRONZE PRESIDENT, Mustang Panda, TA416, Red Lich und HoneyMyte.

Wichtige Urteile

• RedDelta hat im Einklang mit den strategischen Interessen der chinesischen Regierung kontinuierlich langfristige Cyber-Spionagekampagnen durchgeführt. In der Vergangenheit wurden dabei auch Regierungs- und öffentliche Organisationen in Asien und Europa sowie ausländische Organisationen ins Visier genommen, die mit Minderheitengruppen auf dem chinesischen Festland in Verbindung stehen, wie etwa tibetische und mit der katholischen Kirche verbundene Einrichtungen.
• Trotz des Umfangs der öffentlichen Berichterstattung über die Aktivitäten der Gruppe verwendet RedDelta im Vergleich zu anderen staatlich geförderten Akteuren ein hohes operatives Tempo. Die Gruppe hält auch ein rasantes Entwicklungstempo für ihr Flaggschiff-Backdoor (Remote Access Trojaner [RAT]) aufrecht, eine Variante der langjährigen Backdoor PlugX, die stark für die Anti-Analyse zur Umgehung der Erkennung angepasst wurde.
• Im November 2022 gingen die RedDelta-Akteure von der Verwendung von Archivdateien zur Verwendung bösartiger optischer Disc-Image-Dateien (ISO) über, die eine vereinfachte Verknüpfungsdatei (LNK) zur Bereitstellung einer aktualisierten PlugX-Nutzlast enthielten.

Abbildung 1: Grafik der hochrangigen RedDelta-TTPs und der Recorded Future-Datenquellen; historisch gemeldete TTPs sind grau dargestellt [1,2] (Quelle: Recorded Future)_