Die Bedrohungsaktivitätsgruppe RedFoxtrot steht in Verbindung mit der chinesischen PLA-Einheit 69010; sie zielt auf angrenzende asiatische Länder ab

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Dieser Bericht porträtiert eine mutmaßlich vom chinesischen Staat gesponserte Bedrohungsaktivitätsgruppe namens RedFoxtrot mit Verbindungen zur PLA-Einheit 69010. Die Aktivität wurde durch eine Kombination aus groß angelegter automatisierter Netzwerkverkehrsanalyse und Expertenanalyse identifiziert. Zu den Datenquellen gehören die Recorded Future Platform, SecurityTrails, DomainTools, PolySwarm, Farsight und gängige Open-Source-Tools und -Techniken. Der Bericht dürfte vor allem für Personen von Interesse sein, die sich mit strategischen und operativen Geheimdienstinformationen zu den Aktivitäten chinesischer militärischer Geheimdienste im Cyberspace und von Netzwerkverteidigern mit Präsenz in Zentral- oder Südasien befassen.

Executive Summary

Die Insikt Group von Recorded Future hat Verbindungen zwischen einer mutmaßlich vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe, die wir als RedFoxtrot verfolgen, und dem chinesischen militärischen Geheimdienstapparat festgestellt, insbesondere der Einheit 69010 der Volksbefreiungsarmee (PLA) in Ürümqi, Xinjiang. Diese Aktivität bietet einen Einblick in die Operationen der PLA nach einer umfassenden organisatorischen Umstrukturierung ab 2015 und folgt auf eine Zeit, in der sich die öffentliche Berichterstattung weitgehend auf Gruppen konzentrierte, die dem chinesischen Ministerium für Staatssicherheit (MSS) nahestehen. 

Bei der Einheit 69010 handelt es sich wahrscheinlich um den Military Unit Cover Designator (MUCD) für ein Technical Reconnaissance Bureau (TRB) innerhalb der Network Systems Department (NSD) der PLA Strategic Support Force (SSF), einer für Informations- und Cyberkriegsführung zuständigen Abteilung der PLA. Aufgrund laxer operativer Sicherheitsmaßnahmen eines mutmaßlichen RedFoxtrot-Betreibers konnte die Insikt Group die Bedrohungsgruppe mit der physischen Adresse des Hauptquartiers der Einheit 69010 in Verbindung bringen. Öffentlich zugängliche Beschaffungs- und Gerichtsdokumente verknüpften die Einheit 69010 zusätzlich mit dieser Adresse und der SSF. Darüber hinaus stützen zahlreiche wissenschaftliche Veröffentlichungen die Hypothese, dass diese Einheit eine Cyber-Mission verfolgt. 

RedFoxtrot ist mindestens seit 2014 aktiv und zielt vor allem auf die Regierungs-, Verteidigungs- und Telekommunikationssektoren in Zentralasien, Indien und Pakistan ab, was wahrscheinlich dem operativen Auftrag der Einheit 69010 entspricht. Besonders hervorzuheben ist, dass die Insikt Group in den letzten sechs Monaten Netzwerkeinbrüche von RedFoxtrot entdeckt hat, die auf drei indische Luft- und Raumfahrt- und Verteidigungsunternehmen, große Telekommunikationsanbieter in Afghanistan, Indien, Kasachstan und Pakistan sowie mehrere Regierungsbehörden in der gesamten Region abzielten. RedFoxtrot unterhält große Mengen an operativer Infrastruktur und hat wahrscheinlich sowohl maßgeschneiderte als auch öffentlich verfügbare Malware-Familien eingesetzt, die häufig von chinesischen Cyber-Spionagegruppen verwendet werden, darunter Icefog, PlugX, Royal Road, Poison Ivy, ShadowPad und PCShare. Die Aktivitäten von RedFoxtrot überschneiden sich mit Bedrohungsgruppen, die von anderen Sicherheitsanbietern wie Temp.Trident und Nomad Panda verfolgt werden.

• Die PLA-Einheit 69010, ehemals bekannt als Zweites Technisches Aufklärungsbüro der Militärregion Lanzhou, wurde nach einer Umstrukturierung im Jahr 2015 sehr wahrscheinlich in die Abteilung für Netzwerksysteme der PLA-SSF integriert.
• Wir gehen aufgrund identifizierter Verbindungen zu einer bestimmten PLA-Einheit und der Verwendung gemeinsamer kundenspezifischer Fähigkeiten, die als einzigartig für chinesische Cyber-Spionagegruppen gelten, davon aus, dass es sich bei RedFoxtrot um eine vom chinesischen Staat gesponserte Bedrohungsaktivitätsgruppe handelt.
• Im Jahr 2020 verschaffte sich RedFoxtrot wahrscheinlich neben mehreren anderen mit der PLA und MSS verbundenen Bedrohungsgruppen Zugriff auf die ShadowPad-Hintertür.
• Im Gefolge der Umstrukturierung im Jahr 2015 gingen die Aktivitäten der zuvor beobachteten, mit der PLA verbundenen Cyber-Spionage-Gruppen zurück, wahrscheinlich aufgrund der Auflösung oder Fusion alter Gruppen zu neuen Clustern. Angesichts der anhaltenden Aktivitäten mutmaßlicher PLA-Gruppen wie Tonto Team, Tick, Naikon und RedFoxtrot und der Entstehung neuer chinesischer Bedrohungsgruppen mit mutmaßlichen PLA-Verbindungen ist die Insikt Group davon überzeugt, dass mit der PLA verbundene Gruppen trotz der erhöhten Aufmerksamkeit für ihre MSS-Gegenstücke weiterhin eine wichtige Rolle in der chinesischen Cyber-Spionage spielen.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.