Back Despite Disruption: RedDelta Resumes Operations

Back Despite Disruption: RedDelta Resumes Operations

insikt-group-logo-updated-3.png
Insikt Group® researchers used proprietary Recorded Future Network Traffic Analysis and RAT controller detections, along with common analytical techniques, to continue tracking the activity of the suspected Chinese state-sponsored threat activity group RedDelta.

_Data sources include the Recorded Future® Platform, Farsight Security’s DNSDB, SecurityTrails, VirusTotal, Shodan, BinaryEdge, and common OSINT techniques. _

This report will be of greatest interest to network defenders in the private sector, public sector, and non-governmental organizations with a presence in Asia, as well as those interested in Chinese geopolitics.

Executive Summary

In the interim two-month period since previous Insikt Group reporting, RedDelta has largely remained unperturbed by the extensive public reporting on its targeting of the Vatican and other Catholic organizations. Despite taking basic operational security measures through changing the resolution status of command and control (C2) domains in the immediate aftermath of this reporting, the group’s tactics, techniques, and procedures (TTPs) remained consistent. RedDelta’s persistence is exemplified through resuming its targeting of both the Vatican and the Catholic Diocese of Hong Kong mail servers within two weeks of the report publication. More widely, there has been new activity that we attribute to the group in the form of PlugX samples featuring decoy documents themed around Catholicism, Tibet-Ladakh relations, and the United Nations General Assembly Security Council, as well as additional network intrusion activity targeting Myanmar government systems and two Hong Kong universities.

Key Judgments

Background

Le 28 juillet 2020, Insikt Group a publié une étude identifiant le Vatican et le diocèse catholique de Hong Kong parmi plusieurs organisations liées à l'Église catholique ciblées par le groupe RedDelta, soupçonné d'être une organisation malveillante soutenue par l'État chinois. Cette série d'intrusions présumées sur le réseau visait également la Mission d'étude de Hong Kong en Chine et l'Institut pontifical pour les missions étrangères (PIME), en Italie. Insikt Group a estimé que le ciblage d'entités liées à l'Église catholique est probablement révélateur des objectifs du Parti communiste chinois (PCC) visant à consolider son contrôle sur l'Église catholique « clandestine », à « siniserles religions » en Chine et à réduire l'influence perçue du Vatican au sein de la communauté catholique chinoise.

In addition to the targeting of entities related to the Catholic Church, Insikt Group also identified network intrusions impacting law enforcement and government entities in India, a government organization in Indonesia, and other unidentified targets across Myanmar, Hong Kong, and Australia. In this activity the group used multiple malware variants, including a customized PlugX variant referred to as “RedDelta PlugX,” Cobalt Strike Beacon, and Poison Ivy.

Threat Analysis

RedDelta Cleaning Up Post-Publication

Following the publication of the original RedDelta report on July 28, 2020, the group took a number of evasive steps related to the infrastructure used in the intrusions, including changing IP resolutions across several of the identified command and control (C2) domains. For example, less than one day after publication of the RedDelta research, all of the C2 subdomains identified within the “Poison Ivy/Cobalt Strike” cluster stopped resolving.

reddelta-cyber-threat-operations-2-1.png.jpg
Table 1: Domaines « Poison Ivy Cluster » qui ont cessé d'être résolus le lendemain de la publication du rapport.

Additionally, the hosting IP for the PlugX C2 domain cabsecnow[.]com was switched from 167.88.180[.]32 to 103.85.24[.]149 on August 3, 2020. However, this was not the case for all of the identified infrastructure. Many of the PlugX C2 servers remained live and continued to be used across several of the intrusions identified within the initial report. This contrast highlights the group’s willingness to continue to use publicly known infrastructure as long as access is maintained.

RedDelta Resumes Its Targeting of the Vatican and Hong Kong Catholic Diocese
reddelta-cyber-threat-operations-3-1.png
Figure 1: Trafic réseau entre le diocèse catholique de Hong Kong et l'infrastructure RedDelta C2.

In analyzing communications between targeted organizations and RedDelta C2 infrastructure using Recorded Future Network Traffic Analysis, we identified that the network communications between Catholic church organizations ceased in the immediate aftermath of the report publication. However, this was short-lived, and within 10 days, the group returned to its targeting of the Hong Kong Catholic Diocese mail server, and within 14 days, a Vatican mail server. This is indicative of RedDelta’s persistence in maintaining access to these environments for gathering intelligence, in addition to the group’s aforementioned high risk tolerance.

Le 10 septembre 2020, le ministère chinois des Affaires étrangères a annoncé que l'accord conclu en 2018 entre la République populaire de Chine et le Saint-Siège avait été « mis en œuvre avec succès » et que son renouvellement devrait être annoncé dans les semaines à venir. Cette annonce a été précédée par une diminution des activités de RedDelta visant le réseau du Vatican une semaine auparavant, et fait suite à la visite à Rome, fin août, du ministre chinois des Affaires étrangères Wang Yi, ce qui suggère que la mission de renseignement du groupe a peut-être été accomplie ou n'est plus nécessaire. Depuis notre dernier rapport, il n'est pas certain que le groupe ait réussi à regagner l'accès au réseau du Vatican. Cependant, les tentatives en ce sens, suivies par l'apparition de nouveaux documents d'appât sur le thème de l'Église catholique RedDelta, soulignent une fois de plus l'importance accordée par le PCC au renforcement de la surveillance de la communauté catholique en Chine.

reddelta-cyber-threat-operations-12-1.png
Figure 2: Chronologie des activités récentes de RedDelta. (Source : Recorded Future)
Further Targeting in Line With Chinese Strategic Interests

RedDelta continues to target organizations aligned with China’s strategic and geopolitical interests. In previous reporting, we linked a series of network intrusions and phishing attempts targeting several Catholic church organizations to the group, which took place in advance of talks between the two states ahead of the anticipated renewal of the 2018 China-Holy See deal. In the interim period, the group has used additional lures referencing Catholics within China, Tibet-Ladakh relations, and the United Nations General Assembly Security Council to attempt to load PlugX on target machines.

reddelta-cyber-threat-operations-4-1.png
Figure 3: Document leurre PlugX intitulé « Histoire des relations entre le Tibet et le Ladakh et leurs implications modernes ».

The first sample is loaded in a similar manner as the samples described within the previous RedDelta report. The first-stage DLL side-loading phase again uses a legitimate Microsoft Word executable to side-load a first-stage DLL loader, with both files initially stored inside a zip file. On this occasion, the zip file appears to have been stored on Google Drive, with the user likely directed to download it via a spearphishing link. Following the first DLL side-loading phase, an encrypted PlugX DAT payload is retrieved from http://103.85.24[.]161/8.dat.

reddelta-cyber-threat-operations-5-1.jpg
Table 2: Contenu du fichier « Histoire des relations entre le Tibet et le Ladakh et leurs implications modernes.zip » pour le chargement latéral DLL de première étape.

Unlike previously identified RedDelta PlugX samples, this one uses a legitimate Avast Proxy executable for the second DLL side-loading phase rather than the legitimate Adobe executable used in previously analyzed samples. When loaded into memory, the PlugX payload uses www.systeminfor[.]com for command and control — the same domain used across the Catholic church-themed PlugX samples. Across all four newly analyzed samples, the first stage DLL loader files share an identical, uncommon import hash and rich header with previously observed first stage RedDelta PlugX DLLs. The loaded PlugX payload also matches the custom RedDelta PlugX variant previously described, using RC4 encryption for C2 communications with the same hardcoded RC4 passphrase and configuration block decoding function.

In this sample, the user is shown a decoy document titled “History of Tibet-Ladakh Relations and Their Modern Implications,” as shown in Figure 3. Although the specific targeting of this sample is unclear, the inclusion of the reference to Ladakh is particularly interesting given the recent escalation in border tensions between China and India across this region, while Tibet remains a frequent target of Chinese state-sponsored cyberespionage. Similar to several other RedDelta samples, the content of the decoy document is taken from legitimate sources, in this case from a July 2020 article by the Asia-Pacific current affairs news site, The Diplomat.

reddelta-cyber-threat-operations-6-1.png
Figure 4: Extrait du document leurre PlugX intitulé « Version préliminaire du rapport 2020 du Secrétaire général sur la consolidation de la paix et le maintien de la paix ».

The second PlugX sample is loaded in an almost identical manner to the Tibet-Ladakh one above, in this case retrieving the encrypted PlugX DAT payload from http://103.85.24[.]158/eeas.dat. The sample uses the same Adobe executable vulnerable to DLL side-loading seen in one of the Catholic church PlugX samples, and uses the Avast Proxy executable seen in the above Tibet-Ladakh sample for the second stage side-loading. On this occasion, the zip file appears to have been stored on Dropbox, and again, was likely delivered through spearphishing containing a malicious link. This PlugX sample again uses www.systeminfor[.]com for command and control.

reddelta-cyber-threat-operations-7-1.jpg
Table 3: Contenu du fichier « Version préliminaire du rapport du Secrétaire général sur la consolidation de la paix et le maintien de la paix en 2020.zip » pour la première étape du chargement latéral de la DLL.

Le document factice de 18 pages utilisé dans cet exemple (illustré à la figure 4) se présente comme une version préliminaire non révisée du « Rapport 2020 du Secrétaire général sur la consolidation de la paix et le maintien de la paix » rédigé par le Secrétaire général de l'Assemblée générale des Nations Unies. Cependant, ce rapport légitime a très probablement été obtenu sur le site web des Nations Unies, puis modifié afin d'y ajouter la mention « Advanced Unedited Edition » (édition avancée non révisée) et d'en changer la date. Le rapport officiel a été publié le 4 août 2020, avant la soixante-quinzième session de l'Assemblée générale qui doit se tenir en octobre. Sur son site web, l'ONU indique que ce document constituera la principale contribution à l'examen 2020 de l'architecture de consolidation de la paix des Nations Unies et qu'il est élaboré par un groupe restreint d'entités des Nations Unies.

Bien que l'objectif spécifique de cet échantillon particulier ne soit pas clair, l'utilisation de documents publics basés sur des questions géopolitiques d'actualité comme leurres a déjà été observée dans plusieurs leurres RedDelta. De plus, le nom du fichier DAT observé dans cet échantillon, intitulé eeas.dat, fait probablement référence au Service européen pour l'action extérieure (SEAE), le service diplomatique et le ministère des Affaires étrangères et de la Défense de l'Union européenne. Mustang Panda, un groupe malveillant étroitement lié, a également utilisé par le passé un leurre inspiré du Conseil de sécurité des Nations unies dans le cadre d'une activité historique.

reddelta-cyber-threat-operations-8-1.png
Figure 5: « Comment les catholiques s'adaptent aux changements en Chine : une perspective missiologique » (à gauche) et « Les évêques catholiques appellent à des pourparlers de paix urgents au Cameroun » (à droite) : extraits de documents leurres PlugX.

Les deux derniers échantillons RedDelta PlugX ressemblent à nouveau étroitement aux autres, récupérant tous deux la charge utile DAT à partir de http://103.85.24[.]158/hk097.dat. avant d'utiliser finalement quochoice[.]com pour le commandement et le contrôle. Ce domaine est actuellement hébergé sur le réseau 2EZ IP 167.88.177[.]179. avec toutes les nouvelles infrastructures identifiées suivant une tendance déjà observée chez les fournisseurs d'hébergement privilégiés. L'un des exemples, intitulé « Comment les catholiques s'adaptent aux changements en Chine : une perspective missiologique », est tiré des écrits d'un universitaire catholique chinois et se concentre sur le christianisme en Chine, tandis que l'autre est tiré d'un article publié en février 2020 par Independent Catholic News. Cela souligne une fois de plus la mission de RedDelta qui consiste à recueillir des renseignements sur les organisations et les individus associés à l'Église catholique.

reddelta-cyber-threat-operations-9-1.jpg
Table 4: Contenu du fichier « Comment les catholiques s'adaptent aux changements en Chine : une perspective missiologique.zip » pour le chargement latéral DLL de première étape.
reddelta-cyber-threat-operations-10-1.jpg
Table 5: Contenu du fichier « Les évêques catholiques appellent à des pourparlers de paix urgents au Cameroun.zip » pour le chargement latéral DLL de premier niveau.
RedDelta in Myanmar and Hong Kong

Dans notre précédent rapport sur RedDelta, nous avons observé un large éventail de communications réseau entre des adresses IP attribuées à des fournisseurs de télécommunications du Myanmar et de Hong Kong et l'infrastructure C2 de RedDelta. Hong Kong et le Myanmar ont tous deux été des cibles historiques du groupe Mustang Panda (1,2), dont les activités se recoupent largement. Au cours de la période intermédiaire, nous avons identifié PlugX (C2 103.85.24[.]149). Nous avons détecté des intrusions réseau susceptibles de cibler les systèmes gouvernementaux du Myanmar, que nous attribuons à RedDelta. Cela comprenait un portail de connexion VPN pour un système de gestion électronique des documents du gouvernement du Myanmar. Nous estimons que RedDelta a mené cette activité du 4 août (voire avant) jusqu'au 2 septembre 2020 au moins. L'accès à ces systèmes constituerait probablement une source de renseignements précieuse pour accéder aux documents électroniques stockés sur le système.

En plus de cette nouvelle victime au Myanmar, nous avons identifié d'autres PlugX (C2 85.209.43[.]21 intrusions réseau susceptibles de viser deux universités de Hong Kong. Cette adresse IP héberge actuellement le domaine ipsoftwarelabs[.]com. Ceci a déjà été signalé dans un rapport sur les activités visant Hong Kong à l'aide d'une ancienne variante de PlugX. Bien que les métadonnées ne permettent pas à elles seules de confirmer une compromission, nous estimons que le volume élevé et la répétition des communications entre les hôtes de ces organisations ciblées et ces C2 sont suffisants pour indiquer une intrusion probable.

Mitigations

Outlook

La réutilisation par RedDelta d'infrastructures et de TTP rendues publiques met en évidence un contraste dans l'appétit pour le risque des groupes malveillants soutenus par l'État chinois. Alors que certains groupes restent très actifs malgré une large couverture médiatique (tels que APT41 et RedDelta), d'autres modifient radicalement leur comportement ou réduisent leurs activités en réponse à cette couverture, comme APT3. Dans tous les cas, la dénégation plausible offerte par les opérations d'exploitation des réseaux informatiques (CNE) conduit la République populaire de Chine à nier régulièrement toute implication dans de telles activités (1,2), y compris dans l'affaire RedDelta, malgré les preuves historiques.

Given the continued RedDelta activity despite extensive public reporting, we expect the group to continue operating with a high operational tempo with minor tweaks in TTPs. In previous reporting, we highlighted the group’s targeting of entities such as religious organizations and non-governmental organizations (NGOs), which often lack the ability or will to adequately invest in security and detection measures. This likely further fuels the group’s willingness to reuse publicly known infrastructure and TTPs.