Zwischen Juli 2023 und Dezember 2024 führte die vom chinesischen Staat gesponserte Gruppe RedDelta Cyberspionage-Kampagnen durch, die auf staatliche und diplomatische Einrichtungen in der Mongolei, Taiwan, Myanmar, Vietnam und Kambodscha abzielten.
Die Gruppe setzte Spear-Phishing-Angriffe ein und nutzte Köderdokumente zu regionalen politischen und kulturellen Ereignissen, wie dem taiwanesischen Präsidentschaftskandidaten Terry Gou und dem vietnamesischen Nationalfeiertag 2024.
RedDelta passte seine Infektionskette in diesem Zeitraum an, indem es zunächst Windows Shortcut (LNK)-Dateien verwendete und später zu Microsoft Management Console Snap-In Control (MSC)-Dateien überging, um eine angepasste PlugX-Backdoor bereitzustellen.
Insbesondere nutzte die Gruppe das Content Distribution Network von Cloudflare, um den Command-and-Control-Verkehr über einen Proxy zu leiten, was ihre Fähigkeit, sich der Entdeckung zu entziehen, verbesserte.
Experten-Analyse:
RedDeltas hartnäckige Angriffe auf südostasiatische Länder unterstreichen das strategische Interesse Chinas an der Region, das darauf abzielt, Informationen über politische Entwicklungen und diplomatische Beziehungen zu sammeln.
Die sich weiterentwickelnden Taktiken der Gruppe, einschließlich des Wechsels zu MSC-Dateien und der Nutzung von legitimen Diensten wie Cloudflare zur Verschleierung, deuten auf ein hohes Maß an Raffinesse und Anpassungsfähigkeit bei ihren Operationen hin.
Lesen Sie den vollständigen Artikel hier.
