Um provável ator de ameaça patrocinado pelo Estado ligado à China foi ligado a uma campanha de espionagem cibernética visando organizações governamentais, académicas, tecnológicas e diplomáticas em Taiwan entre novembro de 2023 e abril de 2024.
O Grupo Insikt da Recorded Future está rastreando a atividade sob o nome Julieta Vermelha, descrevendo-o como um cluster que opera Fuzhou, na China, para apoiar os objetivos de recolha de informações de Pequim relacionados com o país do Leste Asiático. Também é rastreado sob os nomes Flax Hurricane e Ethereal Panda.
Entre outros países visados pelo colectivo adversário estão Djibouti, Hong Kong, Quénia, Laos, Malásia, Filipinas, Ruanda, Coreia do Sul e os EUA.
Ao todo, foram observadas 24 organizações de vítimas a comunicar com a infra-estrutura dos actores da ameaça, incluindo agências governamentais em Taiwan, Laos, Quénia e Ruanda. Estima-se também que tenha como alvo pelo menos 75 entidades taiwanesas para um reconhecimento mais amplo e exploração subsequente.
“O grupo tem como alvo dispositivos voltados para a Web, como firewalls, balanceadores de carga e produtos VPN de rede privada digital empresarial para acesso inicial, bem como tentativa de injeção de SQL em linguagem de consulta estruturada e explorações de passagem de diretório contra aplicativos da Internet e SQL”, disse a empresa em um novo relatório publicado hoje.
Conforme documentado anteriormente pela CrowdStrike e pela Microsoft, a RedJuliett é conhecida por empregar o software program de código aberto SoftEther para encapsular o tráfego malicioso das redes das vítimas e aproveitar as técnicas de Residing-off-the-land (LotL) para passar despercebidas. Acredita-se que o grupo esteja ativo pelo menos desde meados de 2021.
“Além disso, a RedJuliett usou o SoftEther para administrar a infraestrutura operacional que consiste em servidores controlados por agentes de ameaças alugados de provedores de servidores virtuais privados VPS e infraestrutura comprometida pertencente a três universidades de Taiwan”, observou Recorded Future.
Um acesso inicial bem-sucedido é seguido pela implantação do net shell China Chopper para manter a persistência, juntamente com outros net shells de código aberto, como devilzShell, AntSword e Godzilla. Alguns casos também implicaram a exploração de uma vulnerabilidade de escalonamento de privilégios do Linux conhecida como DirtyCow (CVE-2016-5195).
“A RedJuliett provavelmente está interessada em coletar informações sobre a política econômica e as relações comerciais e diplomáticas de Taiwan com outros países”, afirmou.
“A RedJuliett, como muitos outros agentes de ameaças chineses, provavelmente está visando vulnerabilidades em dispositivos voltados para a Web porque esses dispositivos têm visibilidade limitada e soluções de segurança disponíveis, e atacá-los provou ser uma forma eficaz de escalar o acesso inicial”.
