中国との関連が疑われるRedGolfによる、KEYPLUGを使った広範囲をターゲットにした諜報活動

Recorded FutureのInsikt Groupは、WindowsおよびLinuxのカスタムバックドアKEYPLUGの使用に関連する新しいインフラストラクチャの大規模なクラスターを特定しました。これは、RedGolfとして追跡されている中国の国家支援の脅威活動グループである可能性が高いとされています。 RedGolfは、APT41/BARIUMの別名で報告されている脅威活動と密接に重複しており、米国政府機関を標的にしていると報告されています。 RedGolfはまた、中国国家安全部(MSS)とのつながりを 誇 っており、そのメンバーは以前、成都市肆零肆网络科技有限公司(成都市肆零肆网络科技有限公司)と 関係 があったと報じられている。

RedGolfは、航空、自動車、教育、政府、メディア、情報技術、宗教団体など、幅広い地域で非常に活発に活動していることが知られています。 中国政府や治安機関にとって戦略的に関心のある組織は、標的にされるリスクが高まる可能性が高い。 このレポートでは、グループの最近の活動、戦術、手法、手順を調査し、組織向けの緩和戦略を提供します。

公開報告によると、RedGolfは2021年から2022年にかけて、カスタムモジュラーバックドアKEYPLUGのLinuxバージョン を使用して 、米国の州政府機関を標的にしました。 Insikt Groupは、少なくとも2021年から2023年にかけてRedGolfが使用したKEYPLUGサンプルと運用インフラストラクチャのより広範なクラスターを特定しました。 私たちは、GhostWolfという用語を使用して、この悪意のあるインフラストラクチャを積極的に追跡しています。 KEYPLUGに加えて、Cobalt Strike、PlugX、Dynamic DNS(DDNS)ドメインを使用してRedGolfを特定しましたが、これらはすべて中国の国家支援を受けた多くの脅威グループで一般的に使用されています。 Insikt Groupは、特定されたGhostWolfインフラストラクチャクラスター全体で、一般に報告されたAPT41/BARIUMキャンペーン間で複数のインフラストラクチャの重複を特定しました。

RedGolfのインフラストラクチャとTTP(Tactics、Techniques、Procedures)は、APT41およびBARIUMと重複しています。 (出典:Recorded Future)

RedGolfは、さまざまなホスティングプロバイダーにまたがるコマンドアンドコントロールインフラストラクチャを使用して、KEYPLUGマルウェアとその派生物で被害者を引き続き標的にします。 このグループは以前、従来の登録ドメインとDDNSドメインの両方を混在させて利用しており、多くの場合、テクノロジーをテーマにしています。 このTTPは、DDNSの使用が減少することを除いて、比較的変わらないと考えています。

Cobalt Strike と PlugX の両方が、RedGolf などの中国国家支援の脅威活動グループによって被害者のマシンを標的にされることは、これらのツールによって提供される機能セット、すぐに利用できること、およびこれらの手法を使用する他の脅威アクターの数による責任を難読化する能力を考えると、 今後も続く 可能性が高いです。

Recorded Futureは、Cobalt StrikeとPlugXの両方のサーバーをプロアクティブに検出します。 このフィードをブロックリストやアラートに組み込むことをおすすめします。これにより、感染を防ぐことができます。

文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。