Recenti indagini condotte da Sophos hanno rivelato che tre cluster di attività legate alla Cina sono responsabili di attacchi informatici contro organizzazioni governative nel Sud-est asiatico, nell'ambito di un'operazione sponsorizzata dallo stato, denominata Crimson Palace. Questi cluster, identificati come Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) e Cluster Charlie (STAC1305), sono stati monitorati per la loro capacità di compromettere reti utilizzando tecniche avanzate di intrusione e malware.

I ricercatori di Sophos hanno osservato che i cyberattacchi sfruttano reti di organizzazioni e servizi pubblici compromessi per distribuire malware e strumenti sotto l'apparenza di punti di accesso affidabili. Un aspetto significativo degli attacchi è l'uso di sistemi di organizzazioni non nominate come punti di comando e controllo (C2) e basi per strumenti. Inoltre, un server Microsoft Exchange compromesso è stato utilizzato per ospitare malware.

Il primo avvistamento di Crimson Palace risale a giugno 2024, con attacchi che si sono verificati tra marzo 2023 e aprile 2024. L'attività iniziale del Cluster Bravo, che si sovrappone a un gruppo di minacce noto come Unfading Sea Haze, era confinata a marzo 2023. Tuttavia, una nuova ondata di attacchi rilevata tra gennaio e giugno 2024 ha preso di mira 11 altre organizzazioni e agenzie della regione.

Cluster Charlie

Il Cluster Charlie, noto anche come Earth Longzhi, è stato identificato tra settembre 2023 e giugno 2024. Questo cluster utilizza diversi framework C2 come Cobalt Strike, Havoc e XieBroC2 per facilitare lo sfruttamento post-attacco e distribuire ulteriori payload come SharpHound per la mappatura dell'infrastruttura Active Directory. Gli attacchi mirano ancora all'esfiltrazione di dati di valore, ma gran parte dello sforzo si concentra sul ristabilire e estendere il controllo sulle reti bersaglio bypassando i software EDR e ristabilendo rapidamente l'accesso quando i loro impianti C2 vengono bloccati.

Un'altra caratteristica significativa del Cluster Charlie è l'uso massiccio del DLL hijacking per eseguire malware, una tattica già adottata dal Cluster Alpha. Alcuni degli strumenti open-source utilizzati includono RealBlindingEDR e Alcatraz, che permettono di terminare processi antivirus e offuscare file eseguibili per eludere la rilevazione. Parte dell'arsenale di malware del cluster include un keylogger chiamato TattleTale, capace di raccogliere dati dai browser Google Chrome e Microsoft Edge e di identificare sistemi compromessi.

I tre cluster operano sinergicamente, concentrandosi su compiti specifici: infiltrare gli ambienti bersaglio e condurre ricognizioni (Alpha), penetrare a fondo nelle reti usando vari meccanismi C2 (Bravo), ed esfiltrare dati preziosi (Charlie). Gli avversari sembrano continuamente testare e affinare le loro tecniche, strumenti e pratiche, combinando l'uso di strumenti sviluppati su misura con quelli open-source spesso utilizzati dai tester di penetrazione legittimi.