Der chinesische Bedrohungsakteur, RedGolf, spioniert mit KEYPLUG mehrere Ziele aus, unter anderem, um sich einen finanziellen Vorteil zu verschaffen

Die Insikt Group von Recorded Future hat einen großen Cluster neuer Infrastruktur identifiziert, der mit der Verwendung der benutzerdefinierten Windows- und Linux-Hintertür KEYPLUG in Zusammenhang steht und höchstwahrscheinlich einer vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe mit dem Namen RedGolf zugeschrieben wird. Es gibt große Überschneidungen zwischen RedGolf und den unter den Decknamen APT41/BARIUM gemeldeten Bedrohungsaktivitäten und es soll sich um US-Regierungsbehörden gehandelt haben. Berichten zufolge rühmt sich RedGolf auch mit Verbindungen zum chinesischen Ministerium für Staatssicherheit (MSS) und seine Mitglieder waren zuvor mit dem in Chengdu ansässigen Unternehmen Chengdu 404 Network Technology (成都市肆零肆网络科技有限公司) verbunden .

RedGolf ist in vielen verschiedenen Regionen äußerst aktiv und hat seine Zielgruppen bekanntermaßen in den Bereichen Luftfahrt, Automobil, Bildung, Regierung, Medien, Informationstechnologie und religiöse Organisationen im Visier. Organisationen, die für die chinesische Regierung und die chinesischen Geheimdienste von strategischem Interesse sind, laufen wahrscheinlich ein erhöhtes Risiko, ins Visier genommen zu werden. Dieser Bericht untersucht die jüngsten Aktivitäten, Taktiken, Techniken und Verfahren der Gruppe und bietet Minderungsstrategien für Organisationen.

Öffentlichen Berichten zufolge nutzte RedGolf in den Jahren 2021 und 2022 eine Linux-Version der benutzerdefinierten modularen Backdoor KEYPLUG, um US-Bundesstaaten ins Visier zu nehmen. Die Insikt Group hat ein breiteres Cluster von KEYPLUG-Beispielen und Betriebsinfrastruktur identifiziert, die von RedGolf mindestens von 2021 bis 2023 verwendet werden. Wir verfolgen diese bösartige Infrastruktur aktiv unter dem Begriff GhostWolf. Neben KEYPLUG haben wir RedGolf auch mithilfe von Cobalt Strike-, PlugX- und Dynamic DNS (DDNS)-Domänen identifiziert, die alle von vielen vom chinesischen Staat gesponserten Bedrohungsgruppen häufig verwendet werden. Die Insikt Group hat mehrere Infrastrukturüberschneidungen zwischen öffentlich gemeldeten APT41/BARIUM-Kampagnen im gesamten identifizierten GhostWolf-Infrastrukturcluster festgestellt.

Die Infrastruktur und TTPs (Taktiken, Techniken und Verfahren) von RedGolf überschneiden sich mit APT41 und BARIUM. (Quelle: Aufgezeichnete Zukunft)

RedGolf wird seine Opfer auch weiterhin mit der KEYPLUG-Malware und deren Derivaten angreifen und sich dabei einer Befehls- und Kontrollinfrastruktur verschiedener Hosting-Anbieter bedienen. Die Gruppe hat zuvor eine Mischung aus herkömmlich registrierten Domänen und DDNS-Domänen verwendet, oft mit einem Technologiethema. Wir gehen davon aus, dass dieser TTP mit Ausnahme einer Verringerung der DDNS-Nutzung relativ unverändert bleiben wird.

Der Einsatz von Cobalt Strike und PlugX durch vom chinesischen Staat gesponserte Bedrohungsaktivitätsgruppen wie RedGolf zum Angreifen von Opfercomputern ist sehr wahrscheinlich, dass dies auch weiterhin der Fall sein wird, angesichts des Funktionsumfangs dieser Tools, ihrer leichten Verfügbarkeit und der Möglichkeit, die Verantwortung zu verschleiern, da viele andere Bedrohungsakteure diese Techniken verwenden.

Recorded Future erkennt proaktiv sowohl Cobalt Strike- als auch PlugX-Server. Wir empfehlen, diesen Feed in Sperrlisten und/oder Warnmeldungen aufzunehmen, um Infektionen vorzubeugen.

Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.