Công ty an ninh mạng Recorded Future (Mỹ) cho biết trong một báo cáo mới: “Nhóm tin tặc RedDelta đã sử dụng các tài liệu làm mồi nhử có chủ đề xoay quanh ứng cử viên tổng thống Đài Loan năm 2024 Terry Gou, Ngày nghỉ lễ Quốc khánh Việt Nam (02/9), biện pháp bảo vệ lũ lụt ở Mông Cổ và lời mời họp, bao gồm cả cuộc họp của Hiệp hội các quốc gia Đông Nam Á (ASEAN)”.

Các nhà nghiên cứu tin rằng tác nhân đe dọa này đã xâm phạm Bộ Quốc phòng Mông Cổ vào tháng 8/2024 và nhắm mục tiêu vào các cơ quan, tổ chức của Việt Nam vào khoảng tháng 11/2024. RedDelta cũng được cho là đã nhắm mục tiêu vào nhiều nạn nhân khác nhau ở Malaysia, Nhật Bản, Mỹ, Ethiopia, Brazil, Úc và Ấn Độ từ tháng 9 đến tháng 12/2024.

Được biết, nhóm tin tặc RedDelta hoạt động kể từ ​​năm 2012, là biệt danh được gán cho một tác nhân đe dọa do nhà nước tài trợ từ Trung Quốc. Các tin tặc này cũng được cộng đồng an ninh mạng theo dõi dưới các tên gọi khác như BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (và Vertigo Panda có liên quan chặt chẽ ), Red Lich, Stately Taurus, TA416 và Twill Typhoon.

RedDelta trong thời gian qua đã liên tục cải tiến chuỗi lây nhiễm độc hại của mình, với các cuộc tấn công gần đây khi lạm dụng Visual Studio Code để chèn mã độc hại như một phần của hoạt động gián điệp, với mục tiêu nhắm vào các thực thể chính phủ ở Đông Nam Á, một chiến thuật ngày càng được nhiều nhóm gián điệp có liên hệ với Trung Quốc áp dụng như Digital Eye và MirrorFace .

Bộ công cụ tấn công được Recorded Future ghi nhận bao gồm việc sử dụng các tệp Windows Shortcut (LNK), Windows Installer (MSI) và Microsoft Management Console (MSC), có khả năng được phân phối thông qua tấn công lừa đảo trực tuyến, như là thành phần trong giai đoạn đầu tiên kích hoạt chuỗi lây nhiễm, cuối cùng dẫn đến việc triển khai PlugX bằng các kỹ thuật DLL side-loading.

Một số chiến dịch được thực hiện vào cuối năm ngoái cũng dựa vào các email lừa đảo có chứa liên kết đến các tệp HTML lưu trữ trên Microsoft Azure làm điểm khởi đầu để kích hoạt việc tải xuống payload MSC, từ đó nhúng trình cài đặt MSI chịu trách nhiệm tải PlugX bằng một tệp thực thi hợp lệ dễ bị chiếm quyền điều khiển DLL Search Order.

Trong một dấu hiệu khác cho thấy sự cải tiến trong chiến thuật và đi trước các biện pháp phòng thủ an ninh, RedDelta đã được quan sát thấy sử dụng mạng phân phối nội dung (CDN) Cloudflare để chuyển tiếp lưu lượng mạng đến máy chủ điều khiển và ra lệnh (C2) do kẻ tấn công kiểm soát. Điều này được thực hiện để cố gắng kết hợp với lưu lượng CDN hợp pháp và làm phức tạp các nỗ lực phát hiện.

Recorded Future cho biết họ đã xác định được 10 máy chủ quản trị đang giao tiếp với hai máy chủ RedDelta C2 đã biết. Cả 10 địa chỉ IP đều được đăng ký tại Trung Quốc.

Công ty cho biết: “Các hoạt động của RedDelta phù hợp với các ưu tiên chiến lược của Trung Quốc, tập trung vào các chính phủ và tổ chức ngoại giao ở Đông Nam Á, Mông Cổ và châu Âu. Mục tiêu nhắm tới của nhóm này tập trung vào châu Á vào năm 2023 và 2024 đánh dấu sự trở lại trọng tâm trước đây của các tin tặc này sau khi nhắm tới các tổ chức châu Âu vào năm 2022”.

Diễn biến này diễn ra trong bối cảnh trang tin Bloomberg đưa tin cuộc tấn công mạng gần đây nhắm vào Bộ Tài chính Mỹ được thực hiện bởi một nhóm tin tặc có tên Silk Typhoon (hay còn gọi là Hafnium), trước đó được cho là liên quan đến vụ khai thác lỗ hổng zero-day trong Microsoft Exchange Server (hay còn gọi là ProxyLogon) vào đầu năm 2021.