Entre juillet 2023 et décembre 2024, le groupe RedDelta, parrainé par l’État chinois, a mené des campagnes de cyber-espionnage ciblant des entités gouvernementales et diplomatiques en Mongolie, à Taïwan, au Myanmar, au Vietnam et au Cambodge.
Le groupe a eu recours à des attaques de spear-phishing, en utilisant des documents de leurre sur le thème d’événements politiques et culturels régionaux, tels que le candidat à la présidence taïwanaise de 2024 Terry Gou et la fête nationale vietnamienne.
RedDelta a adapté sa chaîne d’infection au cours de cette période, en utilisant d’abord des fichiers Windows Shortcut (LNK), puis des fichiers Microsoft Management Console Snap-In Control (MSC), afin de proposer une porte dérobée PlugX personnalisée.
Le groupe a notamment exploité le réseau de distribution de contenu de Cloudflare pour acheminer le trafic de commande et de contrôle, ce qui lui a permis d’échapper à la détection.
Analyse d’expert :
Le ciblage persistant des pays d’Asie du Sud-Est par RedDelta souligne l’intérêt stratégique de la Chine pour la région, qui cherche à obtenir des renseignements sur l’évolution politique et les relations diplomatiques.
L’évolution des tactiques du groupe, notamment le passage aux fichiers MSC et l’utilisation de services légitimes tels que Cloudflare pour l’obscurcissement, indique un niveau élevé de sophistication et d’adaptabilité dans ses opérations.
Lire l’article complet ici.
