เรดเดลต้า
RedDelta คือการกำหนดโดยชุมชน infosec ให้กับกลุ่ม APT (Advanced Persistent Threat) ที่มีความเคลื่อนไหวสูง มีลิงค์ที่ชัดเจนซึ่งบ่งชี้ว่า RedDelta เป็นตัวแสดงภัยคุกคามที่ได้รับการสนับสนุนจากจีน เป้าหมายของกลุ่มมักจะสอดคล้องกับผลประโยชน์ของรัฐบาลจีนเสมอ หนึ่งในการรณรงค์โจมตีล่าสุดที่เกิดจากกลุ่มนี้เกิดขึ้นกับองค์กรที่เกี่ยวข้องกับคริสตจักรคาทอลิกหลายแห่ง เหยื่อเหล่านี้รวมถึงวาติกันและสังฆมณฑลคาทอลิกแห่งฮ่องกง เป้าหมายยังรวมถึงคณะผู้แทนการศึกษาฮ่องกงไปยังประเทศจีนและสถาบันสังฆราชเพื่อภารกิจต่างประเทศ (PIME) ประเทศอิตาลี ทั้งสององค์กรยังไม่ได้รับการจัดประเภทเป็นหน่วยงานที่น่าสนใจสำหรับกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากจีนก่อนการดำเนินการนี้
การดำเนินการที่ดำเนินการโดยกลุ่ม APT ที่ตั้งอยู่ในจีนนั้นมีความเหลื่อมล้ำกันมากเมื่อพูดถึง TTP (ยุทธวิธี เทคนิค และขั้นตอน) เมื่อพูดถึงการแยกความแตกต่างระหว่าง RedDelta และกลุ่มที่รู้จักกันในชื่อ Mustang Panda (ติดตามในชื่อ BRONZE PRESIDENT และ HoneyMyte) , โดยเฉพาะ. อย่างไรก็ตาม นักวิจัยพบว่ามีลักษณะเฉพาะเพียงพอที่จะระบุถึงการโจมตีแบบต่อเนื่องเหล่านี้ด้วยความมั่นใจสูงต่อ RedDelta ลักษณะเฉพาะ ได้แก่ การใช้ตัวแปร PlugX ด้วยวิธีการเข้ารหัสการกำหนดค่าที่แตกต่างกัน สายการติดไวรัสไม่ได้มาจากกลุ่มอื่น และรายการเป้าหมายรวมถึงการบังคับใช้กฎหมายและหน่วยงานของรัฐจากอินเดีย เช่นเดียวกับองค์กรรัฐบาลชาวอินโดนีเซีย
โซ่โจมตี
เพย์โหลด PlugX ที่กำหนดเองจะถูกส่งไปยังเครื่องของเหยื่อผ่านอีเมลเหยื่อซึ่งมีเอกสารติดอาวุธเป็นไฟล์แนบ ในการโจมตีครั้งหนึ่ง เอกสารล่อถูกส่งไปยังหัวหน้าคณะผู้แทนฮ่องกงศึกษาไปยังประเทศจีนคนปัจจุบันโดยเฉพาะ ลักษณะที่มีเป้าหมายสูงแสดงให้เห็นว่า RedDelta อาจสกัดกั้นเอกสารทางการของวาติกันที่ถูกติดอาวุธในภายหลัง มีความเป็นไปได้สูงที่แฮกเกอร์จะใช้บัญชี Vactica ที่ถูกบุกรุกเพื่อส่งข้อความหลอกลวง พบ PlugX รุ่นเดียวกันในเหยื่อล่อฟิชชิ่งอีกสองตัว ครั้งนี้ เอกสารเหยื่อปลอมเป็นข่าวเลียนแบบของจริงจากข่าวจาก Union of Catholic Asian News ที่ชื่อว่า 'About China's plan for Hong Kong security law.doc' และไฟล์เกี่ยวกับวาติกันอีกไฟล์หนึ่งชื่อ 'QUM, IL VATICANO DELL'ISLAM.doc '
เมื่อปรับใช้แล้ว PlugX payload จะสร้างช่องทางการสื่อสารด้วยโครงสร้างพื้นฐาน Command-and-Control (C2, C&C) ซึ่งเหมือนกันสำหรับการโจมตีที่สังเกตได้ทั้งหมด โดเมน C2 อยู่ที่ที่อยู่ systeminfor[.]com เพย์โหลดมัลแวร์ขั้นตอนสุดท้ายที่ส่งไปยังระบบที่ถูกบุกรุกคือโทรจัน Poison Ivy และ Cobalt Strike การเข้าถึงระยะไกล เป้าหมายของ RedDelta คือการเข้าถึงการสื่อสารภายในที่มีความละเอียดอ่อน ตลอดจนตรวจสอบความสัมพันธ์ระหว่างเป้าหมายที่เลือก
