С июля 2023 по декабрь 2024 года китайская государственная хакерская группа RedDelta активно атаковала Тайвань, Монголию и страны Юго-Восточной Азии, распространяя модифицированный PlugX – программное обеспечение для удалённого доступа.
Злоумышленники использовали фишинговые письма с документами-приманками, тематически связанными с политическими и культурными событиями, такими как выборы на Тайване, национальный праздник Вьетнама и приглашения на встречи, включая мероприятия АСЕАН.
В августе 2024 года RedDelta предположительно скомпрометировала Министерство обороны Монголии, а в ноябре – Коммунистическую партию Вьетнама. Несмотря на попытки атаковать Министерство общественной безопасности Вьетнама, подтверждений успешных взломов нет. С сентября по декабрь 2024 года жертвами группы стали также организации в Малайзии, Японии, США, Эфиопии, Бразилии, Австралии и Индии.
RedDelta обновила тактики проникновения: в 2023 году использовались LNK-файлы (обычные ярлыки), а в 2024 году – MSC-файлы (конфигурационные файлы). В последние месяцы хакерами также применяются ссылки на HTML-файлы, размещённые на Microsoft Azure. Для сокрытия командных серверов злоумышленники использовали CDN Cloudflare, что затрудняет обнаружение атаки.
Деятельность RedDelta направлена на геополитические приоритеты Китая, включая дипломатические и правительственные организации Юго-Восточной Азии, Монголии и Тайваня. Группа регулярно адаптирует свои методы в ответ на глобальные события.
За годы работы RedDelta атаковала Католическую церковь перед переговорами с Ватиканом, органы правопорядка Индии и правительственные учреждения Индонезии. В 2023 году группа возвращалась к историческим целям, включая монгольские НКО, буддийских активистов и разработчиков приложений.
рекомендует организациям усилить защиту: использовать YARA и Sigma-правила, обновлять ПО, применять двухфакторную аутентификацию и сегментировать сети. Крайне важно блокировать подозрительные IP-адреса и домены, а также регулярно анализировать журналы активности.
Аналитики ожидают, что RedDelta продолжит развивать свои методы и атаковать организации в Азии и за её пределами, фокусируясь на правительственных и религиозных структурах.
* Принадлежит Recorded Future, признанной нежелательной организацией в России.