Research (Insikt)

RedHotel: A Prolific, Chinese State-Sponsored Group Operating at a Global Scale

Publié : 8th August 2023

By: Groupe Insikt

RedHotel: A Prolific, Chinese State-Sponsored Group Operating at a Global Scale

Une nouvelle étude de l'Insikt Group examine RedHotel, un groupe d'activités de menace parrainé par l'État chinois qui se distingue par sa persistance, son intensité opérationnelle et sa portée mondiale. Les activités de RedHotel s'étendent sur 17 pays d'Asie, d'Europe et d'Amérique du Nord de 2021 à 2023. Ses cibles englobent les secteurs universitaire, aérospatial, gouvernemental, des médias, des télécommunications et de la recherche. Particulièrement axée sur les gouvernements d'Asie du Sud-Est et les entreprises privées dans des secteurs spécifiques, l'infrastructure de RedHotel pour la commande et le contrôle, la reconnaissance et l'exploitation des malwares pointe vers l'administration de Chengdu, en Chine. Ses méthodes s'alignent sur celles d'autres groupes d'entrepreneurs liés au ministère chinois de la sécurité de l'État (MSS), ce qui indique l'existence d'un réseau de cybercompétences et d'opérations à Chengdu.

Schematic of RedHotel’s multi-tiered C2 infrastructure network

Depuis 2019 au moins, RedHotel illustre l'ampleur et l'ampleur incessantes des activités de cyberespionnage parrainées par l'État de la RPC en maintenant un rythme opérationnel élevé et en ciblant les organisations des secteurs public et privé du monde entier. Le groupe a une double mission de collecte de renseignements et d'espionnage économique. Il vise à la fois les entités gouvernementales pour le renseignement traditionnel et les organisations impliquées dans la recherche du COVID-19 et la R&D technologique. Il a notamment compromis une assemblée législative d'un État américain en 2022, ce qui témoigne de l'élargissement de son champ d'action. La majorité des organisations victimes observées étaient des organisations gouvernementales, notamment des cabinets de premier ministre, des ministères des finances, des organes législatifs et des ministères de l'intérieur, ce qui correspond à la mission d'espionnage probable du groupe. Cependant, dans certains cas, comme le ciblage par le groupe de l'Institut de recherche en technologie industrielle (ITRI) de Taïwan, signalé en juillet 2021, ou des recherches sur le COVID-19, la motivation probable était l'espionnage industriel et économique. Le ciblage historique du groupe sur le secteur des jeux d'argent en ligne destinés au marché chinois est également révélateur des tendances plus générales observées par Insikt Group chez les acteurs du cyber-espionnage basés en Chine, et vise probablement en partie à recueillir des renseignements pour soutenir les mesures de répression plus larges prises par le gouvernement chinois à l'encontre des jeux d'argent en ligne.

Pile technologique RedHotel

RedHotel utilise une infrastructure à plusieurs niveaux qui met l'accent sur la reconnaissance et l'accès au réseau à long terme via des serveurs de commande et de contrôle. La configuration de l'infrastructure multiniveau du groupe se compose de grandes quantités de serveurs privés virtuels (VPS) provisionnés configurés pour agir en tant que proxys inverses pour le trafic C2 associé aux multiples familles de malwares utilisées par le groupe. Ces serveurs proxys inversés sont généralement configurés pour écouter les ports HTTP standard tels que TCP 80, 443, 8080 et 8443) et pour rediriger le trafic vers des serveurs contrôlés par des acteurs en amont. Ces serveurs en amont sont probablement administrés directement par l'acteur de la menace à l'aide du logiciel de réseau privé virtuel (VPN) open source SoftEther.

Le groupe utilise souvent une combinaison d'outils de sécurité offensifs, de fonctionnalités partagées et d'outils sur mesure, notamment Cobalt Strike, Brute Ratel C4, Winnti, ShadowPad et les portes dérobées FunnySwitch et Spyder. En 2022 et 2023, Insikt Group a suivi plus de 100 adresses IP C2 utilisées par RedHotel, le groupe privilégiant certains fournisseurs d'hébergement, notamment AS-CHOOPA (Vultr), G-Core Labs S.A. et Kaopu Cloud HK Limited. La préférence des acteurs de la menace pour certains fournisseurs d'hébergement est probablement influencée par des facteurs tels que le coût, la fiabilité, la facilité d'installation, l'emplacement des centres de données, le niveau perçu de coopération avec les gouvernements et les organisations du secteur privé ou de collecte auprès d'eux, ainsi que la rapidité et la volonté avec lesquelles les fournisseurs d'hébergement traitent l'utilisation malveillante de leurs services.

Insikt Group de Recorded Future observe diverses cybermenaces parrainées par l'État chinois, RedHotel se distinguant par l'ampleur et l'intensité de son activité. Les campagnes de RedHotel incluent des innovations telles que l'exploitation d'un certificat de signature de code volé et la réquisition d'infrastructures gouvernementales vietnamiennes. Malgré l'exposition publique, l'approche audacieuse de RedHotel laisse penser qu'elle ne compte compte pas cesser ses activités.

Stratégies de défense

Les organisations peuvent se défendre contre les activités de RedHotel en donnant la priorité au renforcement et à la correction des vulnérabilités des appareils connectés à Internet (en particulier les VPN d'entreprise, les serveurs de messagerie et les appareils réseau), en enregistrant et en surveillant ces appareils, et en segmentant le réseau afin de limiter l'exposition et les risques de mouvements latéraux sur les réseaux internes

Remarque : ce résumé du rapport a été publié pour la première fois le 8 août 2023 et a été mis à jour le 29 octobre 2024. L'analyse et les résultats d'origine restent inchangés.

To read the entire analysis with endnotes, click here to download the report as a PDF.

Appendix A — Indicators of Compromise

Domains:
 dga[.]asia
 kb.dga[.]asia
 video.dga[.]asia
 sc.dga[.]asia
 dgti.dga[.]asia
 nhqdc[.]com
 msdn.microsoft.nhqdc[.]com
 icoreemail[.]com
 demo.icoreemail[.]com
 officesuport[.]com
 kiwi.officesuport[.]com
 cdn.officesuport[.]com
 test.officesuport[.]com
 mail.officesuport[.]com
 ntpc.officesuport[.]com
 main.officesuport[.]com
 excel.officesuport[.]com
 remote.officesuport[.]com
 ismtrsn[.]club
 lrm.ismtrsn[.]club
 tgoomh.ismtrsn[.]club
 news.ismtrsn[.]club
 icarln.ismtrsn[.]club
 liveonlin[.]com
 npgsql.liveonlin[.]com
 public.liveonlin[.]com
 tech.liveonlin[.]com
 main.liveonlin[.]com
 cctv.liveonlin[.]com
 alexa-api[.]com
 www.alexa-api[.]com
 ngndc[.]com
 air.ngndc[.]com
 spa.ngndc[.]com
 mkn.ngndc[.]com
 ekaldhfl[.]club
 ts.ekaldhfl[.]club
 ist.ekaldhfl[.]club
 downloads.ekaldhfl[.]club
 pps.ekaldhfl[.]club
 plt.ekaldhfl[.]club
 tlt.ekaldhfl[.]club
 thy.ekaldhfl[.]club
 us.ekaldhfl[.]club
 asia-cdn[.]asia
 report.asia-cdn[.]asia
 freehighways[.]com
 map.freehighways[.]com
 iredemail[.]com
 index.iredemail[.]com
 demo.iredemail[.]com
 open.iredemail[.]com
 api.iredemail[.]com
 full.iredemail[.]com
 bbs.iredemail[.]com
 0nenote[.]com
 keep.0nenote[.]com
 asia-cdn[.]asia
 api.asia-cdn[.]asia
 speedtest.asia-cdn[.]asia
 cyberoams[.]com
 checkip.cyberoams[.]com
 ekaldhfl[.]club
 pps.ekaldhfl[.]club
 usa.ekaldhfl[.]club
 mtlklabs[.]co
 conhostsadas[.]website
 itcom666[.]live
 qbxlwr4nkq[.]itcom666[.]live
 8kmobvy5o[.]itcom666[.]live
 itcom888[.]live
 bwlgrafana[.]itcom888[.]live
 itsm-uat-app[.]itcom888[.]live
 dkxvb0mf[.]itcom888[.]live
 nvw3tdetwx[.]itcom888[.]live
 0j10u9wi[.]itcom888[.]live
 yt-sslvpn[.]itcom888[.]live
 vappvcsa[.]itcom888[.]live
 94ceaugp[.]itcom888[.]live
 sibersystems[.]xyz
 fyalluw0[.]sibersystems[.]xyz 
 sijqlfnbes.sibersystems[.]xyz
 jmz8xhxen3.sibersystems[.]xyz
 2h3cvvhgtf.sibersystems[.]xyz
 3tgdtyfpt9.sibersystems[.]xyz
 n71qtqemam.sibersystems[.]xyz
 711zm77cwq.sibersystems[.]xyz
 R77wu4s847.sibersystems[.]xyz
 caamanitoba[.]us
 jw7uvtodx4.caamanitoba[.]us
 xdryqrbe.caamanitoba[.]us
 b1k10pk9.caamanitoba[.]us
 6hi6m62bzp.caamanitoba[.]us 
 livehost[.]live
 sci.livehost[.]live
 
 C2 IP Addresses (seen May to June 2023)
 1.13.82[.]101
 5.188.33[.]188
 5.188.33[.]254
 5.188.34[.]164
 5.188.34[.]173
 38.54.16[.]131
 38.54.16[.]179
 38.60.199[.]87
 38.60.199[.]208
 45.76.186[.]26
 45.77.153[.]197
 61.238.103[.]165
 64.227.132[.]226
 92.38.169[.]222
 92.38.176[.]128
 92.38.178[.]40
 92.38.178[.]60
 92.223.90[.]133
 95.85.91[.]50
 103.140.239[.]41
 103.157.142[.]95
 108.61.158[.]179
 139.180.193[.]182
 140.82.7[.]72
 141.164.63[.]244
 154.212.129[.]132
 156.236.114[.]202
 
 TLS Certificate (SHA256 Fingerprints):
 f8cd64625f8964239dad1b2ce7372d7a293196455db7c6b5467f7770fd664a61
 294fb8f21034475198c3320d01513cc9917629c6fd090af76ea0ff8911e0caa3
 9c8e5f6e5e843767f0969770478e3ad449f8a412dad246a17ea69694233884b9
 29ed44228ed4a9883194f7e910b2aac8e433ba3edd89596353995ba9b9107093
 b02aed9a615b6dff2d48b1dd5d15d898d537033b2f6a5e9737d27b0e0817b30e
 
 Cobalt Strike Loaders
 5cba27d29c89caf0c8a8d28b42a8f977f86c92c803d1e2c7386d60c0d8641285
 48e81b1c5cc0005cc58b99cefe1b6087c841e952bb06db5a5a6441e92e40bed6
 25da610be6acecfd71bbe3a4e88c09f31ad07bdd252eb30feeef9debd9667c51
 233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91
 aeceaa7a806468766923a00e8c4eb48349f10d069464b53674eeb150e0a59123
 
 Brute Ratel Loaders
 6e3c3045bb9d0db4817ad0441ee3c95b8fe3e087388d1ceefb9ebbd2608aef16
 6f31a4656afb8d9245b5b2f5a634ddfbdb9db3ca565d2c52aee68554ede068d1
 c00991cfeafc055447d7553a14be2303e105b6a97ab35ecf820b9dbd42826f9d
 
 Winnti
 5861584bb7fa46373c1b1f83b1e066a3d82e9c10ce87539ee1633ef0f567e743
 69ff2f88c1f9007b80d591e9655cc61eaa4709ccd8b3aa6ec15e3aa46b9098bd
 2f1321c6cf0bc3cf955e86692bfc4ba836f5580c8b1469ce35aa250c97f0076e
 f1dcf623a8f8f4b26fe54fb17c8597d6cc3f7066789daf47a5f1179bd7f7001a
 
 Spyder
 7a61708f391a667c8bb91fcfd7392a328986059563d972960f8237a69e375d50 
 5d3a6f5bd0a72ee653c6bdad68275df730b836d6f9325ee57ec7d32997d5dcef
 1ded9878f8680e1d91354cbb5ad8a6960efd6ddca2da157eb4c1ef0f0430fd5f 
 e053ca5888fb0d5099efed76e68a1af0020aaaa34ca610e7a1ac0ae9ffe36f6e 
 24d4089f74672bc00c897a74664287fe14d63a9b78a8fe2bdbbf9b870b40d85c
 
 FunnySwitch
 7056e9b69cc2fbc79ba7a492906bcc84dabc6ea95383dff3844dfde5278d9c7a
 ede0c1f0d6c3d982f63abbdd5f10648948a44e5fa0d948a89244a06abaf2ecfe
 9eb0124d822d6b0fab6572b2a4445546e8029ad6bd490725015d49755b5845a4

Appendix B — Mitre ATT&CK Techniques

Tactic: Technique	ATT&CK Code	Observable
Reconnaissance: Active Scanning: Vulnerability Scanning	T1595.002	RedHotel has used vulnerability scanning tools such as Acunetix to scan externally facing appliances for vulnerabilities
Resource Development: Acquire Infrastructure: Domains	T1583.001	RedHotel has purchased domains, primarily via Namecheap.
Resource Development: Acquire Infrastructure: Virtual Private Server	T1583.003	RedHotel has provisioned actor-controlled VPS, with a preference for the providers Choopa (Vultr), G-Core, and Kaopu Cloud HK Limited.
Resource Development: Compromise Infrastructure: Server	T1584.004	RedHotel has also used compromised GlassFish servers as Cobalt Strike C2s and to scan target networks.
Initial Access: Exploit Public-Facing Application	T1190	RedHotel has exploited public-facing applications for initial access, including Zimbra Collaboration Suite (CVE-2022-24682, CVE-2022-27924, CVE-2022-27925 chained with CVE-2022-37042, and CVE-2022-30333), Microsoft Exchange (ProxyShell), and the Log4Shell vulnerability in Apache Log4J.
Initial Access: Spearphishing: Spearphishing Attachment	T1566.001	RedHotel has used archive spearphishing attachments containing shortcut (LNK) files which fetch remotely hosted scripts (HTA, VBScript). These scripts are then used to trigger DLL search order hijacking infection chains and display decoy documents to users.
Persistence: Server Software Component: Web Shell	T1505.003	RedHotel has used web shells within victim environments and to interact with compromised GlassFish servers
Persistence:: Scheduled Task/Job: Scheduled Task	T1053.005	RedHotel has used scheduled tasks for persistence for the group’s Spyder backdoor: `C:\Windows\System32\schtasks.exe /RUN /TN PrintWorkflow_10e3b`
Persistence: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder	T1547.001	The ScatterBee ShadowPad loader persists via the Run registry key and also stores the encrypted ShadowPad payload in the registry.
Defense Evasion: Obfuscated Files or Information	T1027	RedHotel has used the tool ScatterBee to obfuscate ShadowPad payloads. The group has also repeatedly stored encrypted or encoded payloads within files named `bin.config`.
Defense Evasion: Deobfuscate/Decode Files or Information	T1140
Defense Evasion: Subvert Trust Controls: Code Signing	T1553.002	RedHotel has signed malicious binaries using stolen code signing certificates (such as the referenced WANIN International certificate).
Defense Evasion: Hijack Execution Flow: DLL Search Order Hijacking	T1574.001	RedHotel has abused multiple legitimate executables for DLL search order hijacking, including `vfhost.exe`, `mcods.exe`, and `BDReinit.exe`.
Defense Evasion: Masquerading: Match Legitimate Name or Location	T1036.005	RedHotel has used legitimate file names in tandem with DLL search order hijacking to load malicious DLLs.
Command and Control: Proxy: External Proxy	T1090.002	RedHotel has used VPS C2s to proxy traffic upstream to actor-controlled servers.
Command and Control: Application Layer Protocol: Web Protocols	T1071.001	RedHotel Brute Ratel and Cobalt Strike samples referenced within this report communicate over HTTPS.
Exfiltration: Exfiltration Over C2 Channel	T1041	RedHotel has exfiltrated data over malware C2 channels.