Campanha de espionagem cibernética RedJuliett atinge 75 organizações taiwanesas
![vpn](https://i0.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjvYsFyJz6Bc73ZrxZRCnchtriTKvKKIL82A10FLfqRdhzt6-M9UNHVEmelusc_OhxDsR0bWPYeOflrEEiyNay-dtP9Ac3yeGtmxk3EKtmr7rc9loxrDySq01d-9-0grI6blkazQvM-NL2zwSppqUjZnSB1XvsK5lkgWAmEqFLrGhstN5ghdXYtaM1rOxUN/s728-rw-e365/vpn.png?w=780&resize=780,470&ssl=1)
![Espionagem cibernética Espionagem cibernética](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjvYsFyJz6Bc73ZrxZRCnchtriTKvKKIL82A10FLfqRdhzt6-M9UNHVEmelusc_OhxDsR0bWPYeOflrEEiyNay-dtP9Ac3yeGtmxk3EKtmr7rc9loxrDySq01d-9-0grI6blkazQvM-NL2zwSppqUjZnSB1XvsK5lkgWAmEqFLrGhstN5ghdXYtaM1rOxUN/s728-rw-e365/vpn.png)
Um provável ator de ameaça patrocinado pelo Estado ligado à China foi ligado a uma campanha de espionagem cibernética visando organizações governamentais, académicas, tecnológicas e diplomáticas em Taiwan entre novembro de 2023 e abril de 2024.
O Grupo Insikt da Recorded Future está rastreando a atividade sob o nome Julieta Vermelha, descrevendo-o como um cluster que opera Fuzhou, na China, para apoiar os objetivos de recolha de informações de Pequim relacionados com o país do Leste Asiático. Também é rastreado sob os nomes Flax Hurricane e Ethereal Panda.
Entre outros países visados pelo colectivo adversário estão Djibouti, Hong Kong, Quénia, Laos, Malásia, Filipinas, Ruanda, Coreia do Sul e os EUA.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPFFLXZHfTA0FUmsAJ30SeqiM34x3Qes8BjBSTnhm4zHUJUal87CZLGZFJ7f5vxdaZIyNeTzf7fA-8s0CQhiG9ltxRFReWpgvmp2VfSMbjmN8i0yCv_74a3h7HaGxNlFqr5LEyPghIcxNNfXkksw3nQvKsqKKAU4wsl5Ll9UKu2hv6fbtXy4PHGNBW8SxC/s1200/a_d.png)
Ao todo, foram observadas 24 organizações de vítimas a comunicar com a infra-estrutura dos actores da ameaça, incluindo agências governamentais em Taiwan, Laos, Quénia e Ruanda. Estima-se também que tenha como alvo pelo menos 75 entidades taiwanesas para um reconhecimento mais amplo e exploração subsequente.
“O grupo tem como alvo dispositivos voltados para a Web, como firewalls, balanceadores de carga e produtos VPN de rede privada digital empresarial para acesso inicial, bem como tentativa de injeção de SQL em linguagem de consulta estruturada e explorações de passagem de diretório contra aplicativos da Internet e SQL”, disse a empresa em um novo relatório publicado hoje.
Conforme documentado anteriormente pela CrowdStrike e pela Microsoft, a RedJuliett é conhecida por empregar o software program de código aberto SoftEther para encapsular o tráfego malicioso das redes das vítimas e aproveitar as técnicas de Residing-off-the-land (LotL) para passar despercebidas. Acredita-se que o grupo esteja ativo pelo menos desde meados de 2021.
“Além disso, a RedJuliett usou o SoftEther para administrar a infraestrutura operacional que consiste em servidores controlados por agentes de ameaças alugados de provedores de servidores virtuais privados VPS e infraestrutura comprometida pertencente a três universidades de Taiwan”, observou Recorded Future.
Um acesso inicial bem-sucedido é seguido pela implantação do net shell China Chopper para manter a persistência, juntamente com outros net shells de código aberto, como devilzShell, AntSword e Godzilla. Alguns casos também implicaram a exploração de uma vulnerabilidade de escalonamento de privilégios do Linux conhecida como DirtyCow (CVE-2016-5195).
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNS3KFIZ1kUzX9UAyIXkbApCqvKVe4YB7J7YxS5pyT89_UulKpYdfjxFzpEtKx1mkKxptph1SCYggLbhJDkGbKinHSktbbkeXeYBqil8kXuFRmXI-z3FdKj2qTdIYb5vdqZ-mb_NBp3AMTlAP7s4X9r14mq7rDBORzMWvL3CWY8vfZXFKBhdl3-x0BxK89/s728-e365/ad-d.jpg)
“A RedJuliett provavelmente está interessada em coletar informações sobre a política econômica e as relações comerciais e diplomáticas de Taiwan com outros países”, afirmou.
“A RedJuliett, como muitos outros agentes de ameaças chineses, provavelmente está visando vulnerabilidades em dispositivos voltados para a Web porque esses dispositivos têm visibilidade limitada e soluções de segurança disponíveis, e atacá-los provou ser uma forma eficaz de escalar o acesso inicial”.