Der chinesische Bedrohungsakteur, RedGolf, spioniert mit KEYPLUG mehrere Ziele aus, unter anderem, um sich einen finanziellen Vorteil zu verschaffen

Der chinesische Bedrohungsakteur, RedGolf, spioniert mit KEYPLUG mehrere Ziele aus, unter anderem, um sich einen finanziellen Vorteil zu verschaffen

Primäres Logo – Insikt – Digital (RGB).png
Die Insikt Group von Recorded Future hat eine große Gruppe neuer Infrastrukturen identifiziert, die mit der Nutzung der benutzerdefinierten Windows- und Linux-Backdoor KEYPLUG in Verbindung stehen und einer höchstwahrscheinlich staatlich geförderten Bedrohungsgruppe zugeschrieben werden, die als RedGolf verfolgt wird. RedGolf überschneidet sich eng mit den Bedrohungsaktivitäten, die unter dem Decknamen APT41/BARIUM gemeldet werden, und hat Berichten zufolge US-Regierungsstellen ins Visier genommen. RedGolf hat Berichten zufolge auch prahlte von Verbindungen zum chinesischen Ministerium für Staatssicherheit (MSS) und seine Mitglieder waren zuvor verknüpft an das in Chengdu ansässige Unternehmen Chengdu 404 Network Technology (成都市肆零肆网络科技有限公司).

RedGolf ist in vielen verschiedenen Regionen äußerst aktiv und hat seine Zielgruppen bekanntermaßen in den Bereichen Luftfahrt, Automobil, Bildung, Regierung, Medien, Informationstechnologie und religiöse Organisationen im Visier. Organisationen, die für die chinesische Regierung und die chinesischen Geheimdienste von strategischem Interesse sind, laufen wahrscheinlich ein erhöhtes Risiko, ins Visier genommen zu werden. Dieser Bericht untersucht die jüngsten Aktivitäten, Taktiken, Techniken und Verfahren der Gruppe und bietet Minderungsstrategien für Organisationen.

Öffentlichen Berichten zufolge nutzte RedGolf in den Jahren 2021 und 2022 eine Linux-Version der benutzerdefinierten modularen Backdoor KEYPLUG, um US-Bundesstaaten ins Visier zu nehmen. Die Insikt Group hat ein breiteres Cluster von KEYPLUG-Beispielen und Betriebsinfrastruktur identifiziert, die von RedGolf mindestens von 2021 bis 2023 verwendet werden. Wir verfolgen diese bösartige Infrastruktur aktiv unter dem Begriff GhostWolf. Neben KEYPLUG haben wir RedGolf auch mithilfe von Cobalt Strike-, PlugX- und Dynamic DNS (DDNS)-Domänen identifiziert, die alle von vielen vom chinesischen Staat gesponserten Bedrohungsgruppen häufig verwendet werden. Die Insikt Group hat mehrere Infrastrukturüberschneidungen zwischen öffentlich gemeldeten APT41/BARIUM-Kampagnen im gesamten identifizierten GhostWolf-Infrastrukturcluster festgestellt.

Abschlag-RedGolf-001.png
Die Infrastruktur und TTPs (Taktiken, Techniken und Verfahren) von RedGolf überschneiden sich mit APT41 und BARIUM. (Quelle: Aufgezeichnete Zukunft)

RedGolf wird seine Opfer auch weiterhin mit der KEYPLUG-Malware und deren Derivaten angreifen und sich dabei einer Befehls- und Kontrollinfrastruktur verschiedener Hosting-Anbieter bedienen. Die Gruppe hat zuvor eine Mischung aus herkömmlich registrierten Domänen und DDNS-Domänen verwendet, oft mit einem Technologiethema. Wir gehen davon aus, dass dieser TTP mit Ausnahme einer Verringerung der DDNS-Nutzung relativ unverändert bleiben wird.

Der Einsatz von Cobalt Strike und PlugX durch vom chinesischen Staat gesponserte Bedrohungsaktivitätsgruppen wie RedGolf zum Angreifen von Opfercomputern ist sehr wahrscheinlich, dass dies auch weiterhin der Fall sein wird, angesichts des Funktionsumfangs dieser Tools, ihrer leichten Verfügbarkeit und der Möglichkeit, die Verantwortung zu verschleiern, da viele andere Bedrohungsakteure diese Techniken verwenden.

Recorded Future erkennt proaktiv sowohl Cobalt Strike- als auch PlugX-Server. Wir empfehlen, diesen Feed in Sperrlisten und/oder Warnmeldungen aufzunehmen, um Infektionen vorzubeugen.

Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.