Il gruppo di hacker RedDelta, legato alla Cina, ha intensificato le sue attività di spionaggio informatico tra luglio 2023 e dicembre 2024, prendendo di mira paesi come Mongolia, Taiwan, Myanmar, Vietnam e Cambogia. Utilizzando una versione personalizzata del malware PlugX, RedDelta ha sfruttato documenti esca legati a temi politici e sociali, come le elezioni presidenziali taiwanesi del 2024 e la protezione dalle inondazioni in Mongolia, per infiltrarsi nei sistemi informatici di governi e organizzazioni diplomatiche. Secondo il gruppo di ricerca Insikt di Recorded Future, è probabile che RedDelta abbia compromesso il Ministero della Difesa mongolo nell'agosto 2024 e il Partito Comunista del Vietnam nel novembre dello stesso anno.

Attività recenti e tecniche utilizzate

RedDelta, attivo dal 2012, è noto per migliorare costantemente le sue tecniche di infezione. Recentemente, ha utilizzato tunnel di Visual Studio Code come parte di operazioni di spionaggio, una tattica adottata anche da altri gruppi di spionaggio cinesi come Operation Digital Eye e MirrorFace. L'intrusione ha coinvolto file LNK, MSI e MSC, probabilmente distribuiti tramite spear-phishing, per innescare la catena di infezione e installare PlugX attraverso tecniche di side-loading di DLL.

Alcune campagne recenti hanno impiegato email di phishing contenenti link a file HTML ospitati su Microsoft Azure, che avviavano il download del payload MSC, portando infine al caricamento di PlugX tramite un eseguibile legittimo vulnerabile a dirottamento dell'ordine di ricerca delle DLL. Per complicare le operazioni di rilevamento, RedDelta ha utilizzato la rete di distribuzione dei contenuti di Cloudflare per camuffare il traffico di comando e controllo (C2) verso i server controllati dagli attaccanti, mischiandolo con il traffico legittimo di Cloudflare.

Infrastruttura e obiettivi

Recorded Future ha identificato dieci server amministrativi che comunicano con due server C2 noti di RedDelta, tutti registrati presso China Unicom nella provincia di Henan. Le attività di RedDelta riflettono le priorità strategiche cinesi, concentrandosi su governi e organizzazioni diplomatiche in Asia sudorientale, Mongolia ed Europa. Il targeting della Mongolia e di Taiwan è coerente con il passato del gruppo, che ha sempre preso di mira gruppi considerati minacce al Partito Comunista Cinese.

Questi sviluppi emergono mentre Bloomberg riporta un recente attacco informatico al Dipartimento del Tesoro degli Stati Uniti, attribuito a un altro gruppo di hacker cinese noto come Silk Typhoon (alias Hafnium), già responsabile dello sfruttamento di quattro vulnerabilità zero-day in Microsoft Exchange Server nel 2021.