RedDelta
RedDelta on infoseci kogukonna poolt väga aktiivsele APT (Advanced Persistent Threat) rühmale antud nimetus. On tugevaid seoseid, mis viitavad sellele, et RedDelta on Hiina rahastatud ohutegija. Rühma sihtmärgid on peaaegu alati kooskõlas Hiina valitsuse huvidega. Üks viimaseid rühmitusega seotud rünnakukampaaniaid algatati mitme katoliku kirikuga seotud organisatsiooni vastu. Ohvrite hulgas oli Vatikan ja Hongkongi katoliku piiskopkond. Sihtmärkide hulka kuulusid ka Hongkongi õppemissioon Hiinas ja paavstlik välismissioonide instituut (PIME), Itaalia. Mõlemaid organisatsioone ei ole enne seda operatsiooni klassifitseeritud Hiina toetatud häkkerirühmade jaoks huvipakkuvateks üksusteks.
Hiinaga kooskõlastatud APT-gruppide toimingud kattuvad palju TTP-de (taktika, tehnika ja protseduuride) osas, mis puudutab RedDelta ja Mustang Panda nime all tuntud grupi eristamist (seda jälgitakse ka kui BRONZE PRESIDENT ja HoneyMyte). , eriti. Teadlased on aga leidnud piisavalt eristavaid omadusi, et omistada need rünnakute seeriad suure kindlusega RedDeltale. Unikaalsed aspektid hõlmavad PlugX-i variandi kasutamist erineva konfiguratsiooni krüpteerimismeetodiga, nakkusahelat ei ole omistatud teistele rühmadele ning sihtmärkide loendis on India õiguskaitse- ja valitsusasutused ning Indoneesia valitsusorganisatsioon.
Rünnakett
Kohandatud PlugX-i kasulik koormus toimetatakse ohvri masinasse söödameili kaudu, mille manusena on kaasas relvastatud dokument. Ühes rünnakus oli peibutusdokument adresseeritud konkreetselt Hongkongi Hiina õppemissiooni praegusele juhile. Kõrgelt sihitud olemus viitab sellele, et RedDelta võis kinni pidada Vatikani ametliku dokumendi, mis hiljem relvastati. Samuti on väga tõenäoline, et häkkerid kasutasid peibutussõnumi saatmiseks ohustatud Vactica kontot. Sama PlugX variant leiti ka kahe teise andmepüügi landi seest. Seekordsed peibutussööda dokumendid kujutasid endast katoliiklike Aasia uudiste liidu tõelist uudist nimega "Hiina Hongkongi julgeolekuplaani kohta seadus.doc" ja teist Vatikaniga seotud faili nimega "QUM, IL VATICANO DELL'ISLAM.doc". '
Pärast kasutuselevõttu loob PlugX-i kasulik koormus sidekanali Command-and-Control (C2, C&C) infrastruktuuriga, mis oli kõigi vaadeldud rünnakute puhul sama. C2 domeen asus systeminfor[.]com-i aadressil. Ohustatud süsteemidesse tarnitud viimase etapi pahavara kasulikud koormused on kaugjuurdepääsuga troojalased Poison Ivy ja Cobalt Strike. RedDelta eesmärk oli saada juurdepääs tundlikule sisekommunikatsioonile, samuti jälgida valitud sihtmärkide vahelisi suhteid.
