
Back Despite Disruption: RedDelta Resumes Operations

_Data sources include the Recorded Future® Platform, Farsight Security’s DNSDB, SecurityTrails, VirusTotal, Shodan, BinaryEdge, and common OSINT techniques. _
This report will be of greatest interest to network defenders in the private sector, public sector, and non-governmental organizations with a presence in Asia, as well as those interested in Chinese geopolitics.
Executive Summary
In the interim two-month period since previous Insikt Group reporting, RedDelta has largely remained unperturbed by the extensive public reporting on its targeting of the Vatican and other Catholic organizations. Despite taking basic operational security measures through changing the resolution status of command and control (C2) domains in the immediate aftermath of this reporting, the group’s tactics, techniques, and procedures (TTPs) remained consistent. RedDelta’s persistence is exemplified through resuming its targeting of both the Vatican and the Catholic Diocese of Hong Kong mail servers within two weeks of the report publication. More widely, there has been new activity that we attribute to the group in the form of PlugX samples featuring decoy documents themed around Catholicism, Tibet-Ladakh relations, and the United Nations General Assembly Security Council, as well as additional network intrusion activity targeting Myanmar government systems and two Hong Kong universities.
Key Judgments
- RedDelta continues to operate in line with Chinese strategic priorities. This is further exemplified by the group’s continued targeting of the Vatican and Hong Kong Catholic Diocese, and the use of targeted decoy documents centered on topical geopolitical issues of concern to the People’s Republic of China (PRC), such as Catholicism within China and Tibet-Ladakh relations, in a manner consistent with cyberespionage operations.
- The group’s reuse of publicly reported infrastructure and TTPs is likely indicative of a group experiencing operational success and highlights a pragmatic approach to operational security, with RedDelta willing to continue to use publicly known infrastructure as long as access is maintained.
Background
Le 28 juillet 2020, Insikt Group a publié une étude identifiant le Vatican et le diocèse catholique de Hong Kong parmi plusieurs organisations liées à l'Église catholique ciblées par le groupe RedDelta, soupçonné d'être une organisation malveillante soutenue par l'État chinois. Cette série d'intrusions présumées sur le réseau visait également la Mission d'étude de Hong Kong en Chine et l'Institut pontifical pour les missions étrangères (PIME), en Italie. Insikt Group a estimé que le ciblage d'entités liées à l'Église catholique est probablement révélateur des objectifs du Parti communiste chinois (PCC) visant à consolider son contrôle sur l'Église catholique « clandestine », à « siniserles religions » en Chine et à réduire l'influence perçue du Vatican au sein de la communauté catholique chinoise.
In addition to the targeting of entities related to the Catholic Church, Insikt Group also identified network intrusions impacting law enforcement and government entities in India, a government organization in Indonesia, and other unidentified targets across Myanmar, Hong Kong, and Australia. In this activity the group used multiple malware variants, including a customized PlugX variant referred to as “RedDelta PlugX,” Cobalt Strike Beacon, and Poison Ivy.
Threat Analysis
RedDelta Cleaning Up Post-Publication
Following the publication of the original RedDelta report on July 28, 2020, the group took a number of evasive steps related to the infrastructure used in the intrusions, including changing IP resolutions across several of the identified command and control (C2) domains. For example, less than one day after publication of the RedDelta research, all of the C2 subdomains identified within the “Poison Ivy/Cobalt Strike” cluster stopped resolving.

Additionally, the hosting IP for the PlugX C2 domain cabsecnow[.]com was switched from 167.88.180[.]32 to 103.85.24[.]149 on August 3, 2020. However, this was not the case for all of the identified infrastructure. Many of the PlugX C2 servers remained live and continued to be used across several of the intrusions identified within the initial report. This contrast highlights the group’s willingness to continue to use publicly known infrastructure as long as access is maintained.
RedDelta Resumes Its Targeting of the Vatican and Hong Kong Catholic Diocese

In analyzing communications between targeted organizations and RedDelta C2 infrastructure using Recorded Future Network Traffic Analysis, we identified that the network communications between Catholic church organizations ceased in the immediate aftermath of the report publication. However, this was short-lived, and within 10 days, the group returned to its targeting of the Hong Kong Catholic Diocese mail server, and within 14 days, a Vatican mail server. This is indicative of RedDelta’s persistence in maintaining access to these environments for gathering intelligence, in addition to the group’s aforementioned high risk tolerance.
Le 10 septembre 2020, le ministère chinois des Affaires étrangères a annoncé que l'accord conclu en 2018 entre la République populaire de Chine et le Saint-Siège avait été « mis en œuvre avec succès » et que son renouvellement devrait être annoncé dans les semaines à venir. Cette annonce a été précédée par une diminution des activités de RedDelta visant le réseau du Vatican une semaine auparavant, et fait suite à la visite à Rome, fin août, du ministre chinois des Affaires étrangères Wang Yi, ce qui suggère que la mission de renseignement du groupe a peut-être été accomplie ou n'est plus nécessaire. Depuis notre dernier rapport, il n'est pas certain que le groupe ait réussi à regagner l'accès au réseau du Vatican. Cependant, les tentatives en ce sens, suivies par l'apparition de nouveaux documents d'appât sur le thème de l'Église catholique RedDelta, soulignent une fois de plus l'importance accordée par le PCC au renforcement de la surveillance de la communauté catholique en Chine.

Further Targeting in Line With Chinese Strategic Interests
RedDelta continues to target organizations aligned with China’s strategic and geopolitical interests. In previous reporting, we linked a series of network intrusions and phishing attempts targeting several Catholic church organizations to the group, which took place in advance of talks between the two states ahead of the anticipated renewal of the 2018 China-Holy See deal. In the interim period, the group has used additional lures referencing Catholics within China, Tibet-Ladakh relations, and the United Nations General Assembly Security Council to attempt to load PlugX on target machines.

The first sample is loaded in a similar manner as the samples described within the previous RedDelta report. The first-stage DLL side-loading phase again uses a legitimate Microsoft Word executable to side-load a first-stage DLL loader, with both files initially stored inside a zip file. On this occasion, the zip file appears to have been stored on Google Drive, with the user likely directed to download it via a spearphishing link. Following the first DLL side-loading phase, an encrypted PlugX DAT payload is retrieved from http://103.85.24[.]161/8.dat.

Unlike previously identified RedDelta PlugX samples, this one uses a legitimate Avast Proxy executable for the second DLL side-loading phase rather than the legitimate Adobe executable used in previously analyzed samples. When loaded into memory, the PlugX payload uses www.systeminfor[.]com for command and control — the same domain used across the Catholic church-themed PlugX samples. Across all four newly analyzed samples, the first stage DLL loader files share an identical, uncommon import hash and rich header with previously observed first stage RedDelta PlugX DLLs. The loaded PlugX payload also matches the custom RedDelta PlugX variant previously described, using RC4 encryption for C2 communications with the same hardcoded RC4 passphrase and configuration block decoding function.
In this sample, the user is shown a decoy document titled “History of Tibet-Ladakh Relations and Their Modern Implications,” as shown in Figure 3. Although the specific targeting of this sample is unclear, the inclusion of the reference to Ladakh is particularly interesting given the recent escalation in border tensions between China and India across this region, while Tibet remains a frequent target of Chinese state-sponsored cyberespionage. Similar to several other RedDelta samples, the content of the decoy document is taken from legitimate sources, in this case from a July 2020 article by the Asia-Pacific current affairs news site, The Diplomat.

The second PlugX sample is loaded in an almost identical manner to the Tibet-Ladakh one above, in this case retrieving the encrypted PlugX DAT payload from http://103.85.24[.]158/eeas.dat. The sample uses the same Adobe executable vulnerable to DLL side-loading seen in one of the Catholic church PlugX samples, and uses the Avast Proxy executable seen in the above Tibet-Ladakh sample for the second stage side-loading. On this occasion, the zip file appears to have been stored on Dropbox, and again, was likely delivered through spearphishing containing a malicious link. This PlugX sample again uses www.systeminfor[.]com for command and control.

Le document factice de 18 pages utilisé dans cet exemple (illustré à la figure 4) se présente comme une version préliminaire non révisée du « Rapport 2020 du Secrétaire général sur la consolidation de la paix et le maintien de la paix » rédigé par le Secrétaire général de l'Assemblée générale des Nations Unies. Cependant, ce rapport légitime a très probablement été obtenu sur le site web des Nations Unies, puis modifié afin d'y ajouter la mention « Advanced Unedited Edition » (édition avancée non révisée) et d'en changer la date. Le rapport officiel a été publié le 4 août 2020, avant la soixante-quinzième session de l'Assemblée générale qui doit se tenir en octobre. Sur son site web, l'ONU indique que ce document constituera la principale contribution à l'examen 2020 de l'architecture de consolidation de la paix des Nations Unies et qu'il est élaboré par un groupe restreint d'entités des Nations Unies.
Bien que l'objectif spécifique de cet échantillon particulier ne soit pas clair, l'utilisation de documents publics basés sur des questions géopolitiques d'actualité comme leurres a déjà été observée dans plusieurs leurres RedDelta. De plus, le nom du fichier DAT observé dans cet échantillon, intitulé eeas.dat, fait probablement référence au Service européen pour l'action extérieure (SEAE), le service diplomatique et le ministère des Affaires étrangères et de la Défense de l'Union européenne. Mustang Panda, un groupe malveillant étroitement lié, a également utilisé par le passé un leurre inspiré du Conseil de sécurité des Nations unies dans le cadre d'une activité historique.

Les deux derniers échantillons RedDelta PlugX ressemblent à nouveau étroitement aux autres, récupérant tous deux la charge utile DAT à partir de http://103.85.24[.]158/hk097.dat. avant d'utiliser finalement quochoice[.]com pour le commandement et le contrôle. Ce domaine est actuellement hébergé sur le réseau 2EZ IP 167.88.177[.]179. avec toutes les nouvelles infrastructures identifiées suivant une tendance déjà observée chez les fournisseurs d'hébergement privilégiés. L'un des exemples, intitulé « Comment les catholiques s'adaptent aux changements en Chine : une perspective missiologique », est tiré des écrits d'un universitaire catholique chinois et se concentre sur le christianisme en Chine, tandis que l'autre est tiré d'un article publié en février 2020 par Independent Catholic News. Cela souligne une fois de plus la mission de RedDelta qui consiste à recueillir des renseignements sur les organisations et les individus associés à l'Église catholique.


RedDelta in Myanmar and Hong Kong
Dans notre précédent rapport sur RedDelta, nous avons observé un large éventail de communications réseau entre des adresses IP attribuées à des fournisseurs de télécommunications du Myanmar et de Hong Kong et l'infrastructure C2 de RedDelta. Hong Kong et le Myanmar ont tous deux été des cibles historiques du groupe Mustang Panda (1,2), dont les activités se recoupent largement. Au cours de la période intermédiaire, nous avons identifié PlugX (C2 103.85.24[.]149). Nous avons détecté des intrusions réseau susceptibles de cibler les systèmes gouvernementaux du Myanmar, que nous attribuons à RedDelta. Cela comprenait un portail de connexion VPN pour un système de gestion électronique des documents du gouvernement du Myanmar. Nous estimons que RedDelta a mené cette activité du 4 août (voire avant) jusqu'au 2 septembre 2020 au moins. L'accès à ces systèmes constituerait probablement une source de renseignements précieuse pour accéder aux documents électroniques stockés sur le système.
En plus de cette nouvelle victime au Myanmar, nous avons identifié d'autres PlugX (C2 85.209.43[.]21 intrusions réseau susceptibles de viser deux universités de Hong Kong. Cette adresse IP héberge actuellement le domaine ipsoftwarelabs[.]com. Ceci a déjà été signalé dans un rapport sur les activités visant Hong Kong à l'aide d'une ancienne variante de PlugX. Bien que les métadonnées ne permettent pas à elles seules de confirmer une compromission, nous estimons que le volume élevé et la répétition des communications entre les hôtes de ces organisations ciblées et ces C2 sont suffisants pour indiquer une intrusion probable.
Mitigations
- Veuillez configurer vos systèmes de détection d'intrusion (IDS), vos systèmes de prévention d'intrusion (IPS) ou tout autre mécanisme de défense réseau en place afin d'être alerté en cas de tentative de connexion illicite provenant des adresses IP et domaines externes répertoriés dans l'annexe A. Après vérification, envisagez de bloquer ces connexions.
- Ensure system configuration (including access control) for both internally and externally accessible systems is properly evaluated and that strong passwords are employed on all systems.
- Practice network segmentation and ensure special protections exist for sensitive information, such as multi-factor authentication and extremely restricted access and storage on systems only accessible via an internal network.
- Disable basic and legacy authentication where possible, as these can allow attackers to bypass in-place security measures.
- Keep all software and applications up to date — in particular, operating systems, antivirus software, and core system utilities.
- Filter email correspondence and scrutinize attachments for malware.
- Employ host-based controls; one of the best defenses and warning signals to thwart attacks is to conduct client-based host logging and intrusion detection capabilities.
- Implement basic incident response and detection deployments and controls like network IDS, netflow collection, host logging, and web proxy, alongside human monitoring of detection sources.
Outlook
La réutilisation par RedDelta d'infrastructures et de TTP rendues publiques met en évidence un contraste dans l'appétit pour le risque des groupes malveillants soutenus par l'État chinois. Alors que certains groupes restent très actifs malgré une large couverture médiatique (tels que APT41 et RedDelta), d'autres modifient radicalement leur comportement ou réduisent leurs activités en réponse à cette couverture, comme APT3. Dans tous les cas, la dénégation plausible offerte par les opérations d'exploitation des réseaux informatiques (CNE) conduit la République populaire de Chine à nier régulièrement toute implication dans de telles activités (1,2), y compris dans l'affaire RedDelta, malgré les preuves historiques.
Given the continued RedDelta activity despite extensive public reporting, we expect the group to continue operating with a high operational tempo with minor tweaks in TTPs. In previous reporting, we highlighted the group’s targeting of entities such as religious organizations and non-governmental organizations (NGOs), which often lack the ability or will to adequately invest in security and detection measures. This likely further fuels the group’s willingness to reuse publicly known infrastructure and TTPs.