See Recorded Future’s Threat Intelligence Solutions in Action

See our Threat Intelligence Solutions in Action

Réduisez les risques et atténuez les cyberattaques, quels que soient votre pile informatique et de sécurité, votre parcours de maturité ou votre secteur d’activité

Book a free demo

View Solutions to Reduce Risk

See Recorded Future’s Intelligence in Action

Reduce operational risk through timely, precise, and actionable intelligence.

Book a free demo

Présentation d’Intelligence Cloud

Voir l’aperçu des services et de l’assistance

Voir l’aperçu de la recherche

Research (Insikt)

RedMike (Salt Typhoon) exploite les appareils Cisco vulnérables des fournisseurs mondiaux de télécommunications

Publié : 13 février 2025

By: Insikt Group®

RedMike (Salt Typhoon) Exploits Vulnerable Cisco Devices of Global Telecommunications Providers

insikt group logo

Executive Summary

Between December 2024 and January 2025, Recorded Future’s Insikt Group identified a campaign exploiting unpatched internet-facing Cisco network devices primarily associated with global telecommunications providers. Victim organizations included a United States-based affiliate of a United Kingdom-based telecommunications provider and a South African telecommunications provider. Insikt Group attributes this activity to the Chinese state-sponsored threat activity group tracked by Insikt Group as RedMike, which aligns with the Microsoft-named group Salt Typhoon. Using Recorded Future® Network Intelligence, Insikt Group observed RedMike target and exploit unpatched Cisco network devices vulnerable to CVE-2023-20198, a privilege escalation vulnerability found in the web user interface (UI) feature in Cisco IOS XE software, for initial access before exploiting an associated privilege escalation vulnerability, CVE-2023-20273, to gain root privileges. RedMike reconfigures the device, adding a generic routing encapsulation (GRE) tunnel for persistent access.

RedMike a tenté d'exploiter plus de 1 000 dispositifs Cisco à l'échelle mondiale. Le groupe a probablement dressé une liste d'appareils cibles en fonction de leur association avec les réseaux des fournisseurs de télécommunications. Insikt Group a également observé que RedMike ciblait des appareils associés à des universités en Argentine, au Bangladesh, en Indonésie, en Malaisie, au Mexique, aux Pays-Bas, en Thaïlande, aux États-Unis et au Vietnam. RedMike a probablement ciblé ces universités pour accéder à la recherche dans des domaines liés aux télécommunications, à l'ingénierie et à la technologie, en particulier dans des institutions telles que l'UCLA et la TU Delft. En plus de cette activité, à la mi-décembre 2024, RedMike a également effectué une reconnaissance de plusieurs adresses IP appartenant à un fournisseur de télécommunications basé au Myanmar, Mytel.

Les appareils destinés au public non corrigés servent de points d'entrée directs dans l'infrastructure d'une organisation. Au cours des cinq dernières années, les groupes de menaces chinois sophistiqués se sont fortement orientés vers l'exploitation de ces appareils pour un accès initial. L'exploitation des infrastructures de télécommunications par RedMike va au-delà des vulnérabilités techniques et représente une menace pour le renseignement stratégique. L'accès permanent aux réseaux de communication essentiels permet aux acteurs de la menace soutenus par un État de surveiller les conversations confidentielles, de manipuler les flux de données et de perturber les services pendant les conflits géopolitiques. Le ciblage par RedMike de programmes d'interception légaux et de personnalités politiques américaines met en évidence les objectifs stratégiques de renseignement qui sous-tendent ces opérations et la menace qu'elles représentent pour la sécurité nationale.

Les organisations, en particulier celles du secteur des télécommunications, doivent en priorité remédier aux dispositifs de réseau exposés, car les systèmes non corrigés restent un vecteur d'accès initial essentiel pour les groupes d'activités menaçantes parrainés par l'État chinois. Les administrateurs de réseau doivent mettre en place des contrôles d'accès stricts, désactiver l'exposition inutile à l'interface web et surveiller les changements de configuration non autorisés. Les individus devraient utiliser des méthodes de communication chiffrées de bout en bout pour les informations sensibles, comme le recommandent la Cybersecurity and Infrastructure Agency (CISA) et le Federal Bureau of Investigation (FBI), ce qui est essentiel pour atténuer les risques d'écoute clandestine.

En outre, les gouvernements et les entités de cybersécurité devraient améliorer le partage de threat intelligence et imposer une conformité réglementaire plus stricte en matière de sécurité des réseaux. Si les sanctions américaines contre la société Sichuan Juxinhe Network Technology, affiliée à RedMike, témoignent d'une position plus affirmée et plus louable contre le cyberespionnage des infrastructures critiques soutenu par l'État, une coopération internationale solide est indispensable pour contrer efficacement ces menaces persistantes.

Key Findings

Malgré une couverture médiatique importante et des sanctions américaines, RedMike continue de compromettre les fournisseurs de télécommunications du monde entier, y compris aux États-Unis.
RedMike a compromis les dispositifs de réseau Cisco d'une filiale américaine d'un fournisseur de télécommunications britannique et d'un fournisseur de télécommunications sud-africain.
RedMike exploited privilege escalation vulnerabilities CVE-2023-20198 and CVE-2023-20273 to compromise unpatched Cisco network devices running Cisco IOS XE software.
En utilisant Recorded Future Network Intelligence, Insikt Group a identifié que RedMike tentait d'exploiter plus de 1 000 appareils réseau Cisco entre décembre 2024 et janvier 2025.

Background

Fin septembre 2024, les médias (1, 2) ont rapporté que le groupe parrainé par l'État chinois, Salt Typhoon, avait compromis les réseaux de grandes entreprises de télécommunications américaines, y compris Verizon (1), AT&T et Lumen Technologies. L'activité a probablement touché les organisations de télécommunications du monde entier, certains médias ayant indiqué que Salt Typhoon avait compromis au moins 80 organisations. SaltTyphoon a utilisé son accès aux fournisseurs de télécommunications pour espionner des cibles d'interception légales américaines et intercepter les communications de personnalités politiques américaines importantes. Les effets des intrusions de Salt Typhoon ont atteint les plus hauts niveaux du gouvernement américain : des experts en cybersécurité ont informé le Sénat américain, la CISA a récemment publié des orientations sur le renforcement des infrastructures de télécommunications, et la CISA et le FBI ont publié un avertissement commun encourageant l'utilisation d'applications de messagerie chiffrées de bout en bout pour les communications sensibles.

Insikt Group tracks Salt Typhoon-aligned activity as RedMike. Salt Typhoon is a group name given by Microsoft Threat Intelligence; at this time, Microsoft has not published publicly available technical details of the group's activity. The only public information Microsoft has shared confirms an overlap with two existing threat activity group names: GhostEmperor (Kaspersky) and FamousSparrow (ESET).

Le 17 janvier 2025, l'Office of Foreign Assets Control (OFAC) du département américain du Trésor a sanctionné la société de cybersécurité Sichuan Juxinhe Network Technology Co., Ltd. basée au Sichuan, pour son implication directe dans les activités de RedMike. L'OFAC a déclaré que Sichuan Juxinhe Network Technology Co., Ltd. était directement impliquée dans l'exploitation des fournisseurs américains de télécommunications et de services Internet. Selon l'OFAC, le ministère chinois de la sécurité de l'État (MSS) a entretenu des liens étroits avec de nombreuses sociétés d'exploitation de réseaux informatiques, dont Sichuan Juxinhe.

Analyse technique

Exploitation de l'interface Web de Cisco IOS XE

Using Recorded Future Network Intelligence, Insikt Group identified that since early December 2024, RedMike has attempted to exploit over 1,000 internet-facing Cisco network devices worldwide, primarily those associated with telecommunications providers, using a combination of two privilege escalation vulnerabilities: CVE-2023-20198 and CVE-2023-20273. When successfully compromised, the group uses the new privileged user account to change the device's configuration and adds a GRE tunnel for persistent access and data exfiltration.

The privilege escalation vulnerability CVE-2023-20198 was found in the Cisco IOS XE software web UI feature, version 16 and earlier, and published by Cisco in October 2023. Attackers exploit this vulnerability to gain initial access to the device and issue a privilege 15 command to create a local user and password. Following this, the attacker uses the new local account to access the device and exploits an associated privilege escalation vulnerability, CVE-2023-20273, to gain root user privileges.

Figure 1: RedMike Cisco network device exploitation infrastructure (Source: Recorded Future)

Plus de la moitié des appareils Cisco ciblés par RedMike se trouvaient aux États-Unis, en Amérique du Sud et en Inde. Les autres appareils sont répartis dans plus de 100 autres pays. Bien que les appareils sélectionnés soient principalement associés à des fournisseurs de télécommunications, treize d'entre eux étaient liés à des universités en Argentine, au Bangladesh, en Indonésie, en Malaisie, au Mexique, aux Pays-Bas, en Thaïlande, aux États-Unis et au Vietnam.

Souvent impliquées dans des recherches de pointe, les universités sont des cibles privilégiées pour les groupes d'activités malveillantes parrainés par l'État chinois pour acquérir des données de recherche et de la propriété intellectuelle précieuses. Parmi les exemples précédents, citons APT40, qui a ciblé les universités pour la recherche biomédicale, robotique et maritime. RedGolf (APT41) pour la recherche médicale et RedBravo (APT31), qui a directement ciblé les universitaires. La cyberstratégie de la Chine est conforme à ses objectifs économiques et militaires généraux, faisant des universités des cibles de premier plan pour la collecte de renseignements et l'acquisition de technologies à long terme.

RedMike a probablement ciblé ces universités pour accéder à la recherche dans des domaines liés aux télécommunications, à l'ingénierie et à la technologie, en particulier dans des institutions telles que l'UCLA et la TU Delft.

Université de Californie, Los Angeles (UCLA) — États-Unis
California State University, Office of the Chancellor (CENIC) — États-Unis
Université Loyola Marymount — États-Unis
Utah Tech University — États-Unis
Universidad de La Punta — Argentine
Islamic University of Technology (IUT) — Bangladesh
Universitas Sebelas Maret — Indonésie
Universitas Negeri Malang — Indonésie
University of Malaya — Malaisie
Universidad Nacional Autonoma — Mexico
Technische Universiteit Delft — Les Pays-Bas
Sripatum University — Thailand
University of Medicine and Pharmacy at Ho Chi Minh City — Vietnam

Figure 2: Geographical spread of Cisco devices targeted by RedMike (Source: Recorded Future)

Les activités de numérisation et d'exploitation de RedMike ont eu lieu à six reprises entre décembre 2024 et janvier 2025.

2024-12-04
2024-12-10
2024-12-17
2024-12-24
2025-01-13
2025-01-23

Les administrateurs réseau qui utilisent un périphérique réseau Cisco équipé de l'interface Web du logiciel IOS XE exposée à Internet peuvent utiliser les dates mentionnées et les conseils figurant dans la section sur les mesures d'atténuation pour identifier les éventuelles activités d'exploitation de RedMike.

À l'aide de données d'analyse Internet, Insikt Group a identifié plus de 12 000 périphériques réseau Cisco avec leurs interfaces utilisateur Web exposées à Internet. Bien que plus de 1 000 appareils Cisco aient été ciblés, Insikt Group évalue que cette activité était probablement ciblée, étant donné que ce nombre ne représente que 8 % des appareils exposés et que RedMike s'est engagé dans une activité de reconnaissance périodique, sélectionnant des appareils liés à des fournisseurs de télécommunications.

Appareils de fournisseurs de télécommunications compromis

En utilisant Recorded Future Network Intelligence, Insikt Group a observé sept dispositifs de réseau Cisco compromis qui communiquent avec l'infrastructure RedMike. Il s'agit notamment des appareils associés à :

Filiale d'un opérateur de télécommunications britannique basée aux États-Unis
Un fournisseur d'accès Internet (FAI) et une société de télécommunications américaine
Un fournisseur de télécommunications sud-africain
Un fournisseur d'accès Internet italien
Un grand fournisseur de télécommunications thaïlandais

RedMike a configuré des tunnels GRE entre les appareils Cisco compromis et leur infrastructure. GRE est un protocole de tunneling utilisé pour encapsuler divers protocoles de couche réseau dans des connexions point à point. Il s'agit d'une fonction standard qui peut être configurée sur les appareils du réseau Cisco. Il est couramment utilisé pour créer des réseaux privés virtuels (VPN), permettre l'interopérabilité entre différents types de réseaux et transporter du trafic multicast ou non-IP sur des réseaux IP. Les groupes d'activités menaçantes utilisent les tunnels GRE pour maintenir leur persistance en établissant des canaux de communication secrets qui contournent les pare-feu et les systèmes de détection d'intrusion. Ces tunnels facilitent également l'exfiltration furtive de données en encapsulant les données volées dans des paquets GRE, ce qui permet de contourner la surveillance du réseau.

Reconnaissance d'un fournisseur de télécommunications au Myanmar

À la mi-décembre 2024, RedMike, à partir de la même infrastructure qui a exploité les périphériques réseau Cisco, a effectué une reconnaissance contre plusieurs actifs d'infrastructure exploités par un fournisseur de télécommunications basé au Myanmar, Mytel, y compris probablement leur serveur de messagerie d'entreprise.

To read the entire analysis, click here to download the report as a PDF.