RedDelta
Ang RedDelta ay ang pagtatalaga na ibinigay ng komunidad ng infosec sa isang aktibong pangkat ng APT (Advanced Persistent Threat). Mayroong malakas na mga link na nagmumungkahi na ang RedDelta ay isang aktor ng pagbabanta na inisponsor ng Chinese. Ang mga target ng grupo ay halos palaging nakaayon sa interes ng gobyerno ng China. Ang isa sa mga pinakabagong kampanya sa pag-atake na nauugnay sa grupo ay inilunsad laban sa ilang mga organisasyong nauugnay sa Simbahang Katoliko. Kabilang sa mga biktima ang Vatican at Catholic Diocese of Hong Kong. Kasama rin sa mga target ang Hong Kong Study Mission to China at ang Pontifical Institute for Foreign Missions (PIME), Italy. Ang parehong mga organisasyon ay hindi naiuri bilang mga entity ng interes para sa mga grupo ng hacker na suportado ng China bago ang operasyong ito.
Ang mga operasyong isinasagawa ng mga grupong APT na nakahanay sa Tsino ay nagpapakita ng maraming magkakapatong pagdating sa mga TTP (Tactic, Techniques, at Procedures) pagdating sa pagkakaiba sa pagitan ng RedDelta at isang grupong kilala bilang Mustang Panda (sinusubaybayan din bilang BRONZE PRESIDENT at HoneyMyte) , lalo na. Gayunpaman, nakahanap ang mga mananaliksik ng sapat na natatanging katangian upang maiugnay ang mga serye ng pag-atake na ito nang may mataas na kumpiyansa sa RedDelta. Kasama sa mga natatanging aspeto ang paggamit ng variant ng PlugX na may ibang paraan ng pag-encrypt ng configuration, ang chain ng impeksyon ay hindi naiugnay sa ibang mga grupo, at kasama sa listahan ng mga target ang nagpapatupad ng batas at mga entity ng gobyerno mula sa India pati na rin ang isang organisasyon ng gobyerno ng Indonesia.
Kadena ng Pag-atake
Ang customized na PlugX payload ay inihahatid sa makina ng biktima sa pamamagitan ng bait email na may dalang isang weaponized na dokumento bilang attachment. Sa isa sa mga pag-atake, ang dokumento ng pang-akit ay naka-address sa kasalukuyang pinuno ng Hong Kong Study Mission sa China partikular. Ang napaka-target na kalikasan ay nagmumungkahi na maaaring naharang ng RedDelta ang isang opisyal na dokumento ng Vatican na ginawang armas pagkatapos. Malaki rin ang posibilidad na gumamit ang mga hacker ng nakompromisong Vactica account para ipadala ang mensahe ng pang-akit. Ang parehong variant ng PlugX ay natagpuan din sa loob ng dalawa pang phishing lure. Sa pagkakataong ito ang mga dokumento ng pain ay isang imitasyon ng totoong isang news bulleting mula sa Union of Catholic Asian News na pinangalanang 'About China's plan for Hong Kong security law.doc' at isa pang file na nauugnay sa Vatican na pinangalanang 'QUM, IL VATICANO DELL'ISLAM.doc '
Kapag na-deploy na, ang PlugX payload ay nagtatatag ng channel ng komunikasyon kasama ang Command-and-Control (C2, C&C) na imprastraktura, na pareho para sa lahat ng naobserbahang pag-atake. Ang C2 domain ay matatagpuan sa systeminfor[.]com address. Ang huling yugto ng malware payload na inihatid sa mga nakompromisong system ay ang malayuang pag-access ng Trojans Poison Ivy at Cobalt Strike. Ang layunin ng RedDelta ay makakuha ng access sa mga sensitibong panloob na komunikasyon, pati na rin subaybayan ang mga relasyon sa pagitan ng mga napiling target.
