РедДелта

РедДелта је ознака коју је заједница инфосец дала високо активној АПТ (Адванцед Персистент Тхреат) групи. Постоје јаке везе које сугеришу да је РедДелта претња коју спонзорише Кине. Циљеви групе су скоро увек у складу са интересима кинеске владе. Једна од најновијих кампања напада која се приписује групи покренута је против неколико организација повезаних с Католичком црквом. Међу жртвама су Ватикан и католичка бискупија Хонг Конга. Мете су такође укључивале студијску мисију Хонг Конга у Кини и Папски институт за иностране мисије (ПИМЕ), Италија. Обе организације пре ове операције нису биле класификоване као субјекти од интереса за хакерске групе које подржавају Кине.

Операције које спроводе АПТ групе које су усклађене са кинеском показују доста преклапања када је реч о ТТП-овима (тактика, технике и процедуре) када је у питању разликовање између РедДелте и групе познате као Мустанг Панда (такође праћене као БРОНЗАНИ ПРЕДСЕДНИК и ХонеиМите) , посебно. Међутим, истраживачи су пронашли довољно карактеристичних карактеристика да би ове серије напада са високим поверењем приписали РедДелти. Јединствени аспекти укључују употребу ПлугКс варијанте са другачијим методом шифровања конфигурације, ланац инфекције није приписан другим групама, а листа мета укључује органе за спровођење закона и владине субјекте из Индије, као и индонежанску владину организацију.

Аттацк Цхаин

Прилагођени ПлугКс терет се испоручује жртвиној машини путем е-поште са мамацом која носи документ са оружјем као прилог. У једном од напада, документ о привлачењу био је посебно упућен актуелном шефу студијске мисије Хонг Конга у Кини. Високо циљана природа сугерише да је РедДелта можда пресрела званични ватикански документ који је накнадно наоружан. Такође је велика вероватноћа да су хакери користили компромитовани Вацтица налог да пошаљу поруку мамца. Иста ПлугКс варијанта је такође пронађена у две друге мамце за крађу идентитета. Овог пута су документи о мамцима били имитација правог вести из Уније католичких азијских вести под називом „О кинеском плану за закон о безбедности у Хонг Конгу.доц“ и другог фајла у вези са Ватиканом под називом „КУМ, ИЛ ВАТИЦАНО ДЕЛЛ'ИСЛАМ.доц '

Једном постављен, ПлугКс корисни терет успоставља комуникациони канал са инфраструктуром за команду и контролу (Ц2, Ц&Ц), која је била иста за све уочене нападе. Ц2 домен се налазио на адреси системинфор[.]цом. Корисни садржаји малвера у последњој фази који се испоручују компромитованим системима су тројанци Поисон Иви и Цобалт Стрике за даљински приступ. Циљ РедДелте је био приступ осетљивим интерним комуникацијама, као и праћење односа између одабраних циљева.