RedDelta

RedDelta 是信息安全社区对高度活跃的 APT（高级持续威胁）组织的命名。有很强的联系表明 RedDelta 是中国赞助的威胁行为者。该集团的目标几乎总是与中国政府的利益一致。归因于该组织的最新攻击活动之一是针对几个与天主教会相关的组织发起的。受害者包括梵蒂冈和香港天主教教区。目标还包括香港中国考察团和意大利宗座外国使团研究所（PIME）。在此次行动之前，这两个组织都没有被归类为中国支持的黑客组织感兴趣的实体。

当涉及到区分 RedDelta 和野马熊猫组织（也被称为 BRONZE PRESIDENT 和 HoneyMyte）时，与中国结盟的 APT 组织执行的操作在 TTP（战术、技术和程序）方面显示出很多重叠， 尤其。然而，研究人员已经发现了足够多的特征，可以高度自信地将这一系列攻击归因于 RedDelta。其独特之处包括使用具有不同配置加密方法的 PlugX 变体，感染链未归于其他团体，目标清单包括来自印度的执法和政府实体以及印度尼西亚政府组织。

攻击链

定制的 PlugX 有效载荷通过带有武器化文档作为附件的诱饵电子邮件传送到受害者的机器。在其中一次袭击中，诱饵文件是专门写给香港访华团现任团长的。高度针对性的性质表明，RedDelta 可能截获了一份随后被武器化的梵蒂冈官方文件。黑客也极有可能使用受感染的 Vactica 帐户发送诱饵信息。在另外两个网络钓鱼诱饵中也发现了相同的 PlugX 变体。这次的诱饵文件是对天主教亚洲新闻联盟的一篇名为"关于中国香港安全法.doc"的新闻报道和另一个梵蒂冈相关文件"QUM, IL VATICANO DELL'ISLAM.doc"的模仿。 '

部署后，PlugX 负载建立与命令和控制（C2、C&C）基础设施的通信通道，这对于所有观察到的攻击都是相同的。 C2 域位于 systeminfor[.]com 地址。传送到受感染系统的最后阶段恶意软件有效载荷是远程访问木马Poison Ivy和 Cobalt Strike。 RedDelta 的目标是访问敏感的内部通信，并监控所选目标之间的关系。