China

Insikt Group® researchers used proprietary Recorded Future Network Traffic Analysis and RAT controller detections, along with common analytical techniques, to identify and profile a cyberespionage campaign attributed to a suspected Chinese state-sponsored threat activity group, which we are tracking as RedDelta.

Data sources include the Recorded Future® Platform, Farsight Security’s DNSDB, SecurityTrails, VirusTotal, Shodan, BinaryEdge, and common OSINT techniques.

This report will be of greatest interest to network defenders of private sector, public sector, and non-governmental organizations with a presence in Asia, as well as those interested in Chinese geopolitics.

Executive Summary

From early May 2020, The Vatican and the Catholic Diocese of Hong Kong were among several Catholic Church-related organizations that were targeted by RedDelta, a Chinese-state sponsored threat activity group tracked by Insikt Group. This series of suspected network intrusions also targeted the Hong Kong Study Mission to China and the Pontifical Institute for Foreign Missions (PIME), Italy. These organizations have not been publicly reported as targets of Chinese threat activity groups prior to this campaign.

Ces intrusions dans le réseau ont eu lieu avant le renouvellement prévu en septembre 2020 de l'accord provisoire historique conclu en 2018 entre la Chine et le Vatican, un accord qui aurait permis au Parti communiste chinois (PCC) d'exercer un contrôle et une surveillance accrus sur la communauté catholique « clandestine » du pays, persécutée depuis toujours. Outre le Saint-Siège lui-même, une autre cible probable de cette campagne serait l'actuel chef de la mission d'étude de Hong Kong en Chine, dont le prédécesseur était considéré comme ayant joué un rôle essentiel dans l'accord de 2018.

L'intrusion présumée au Vatican permettrait à RedDelta d'obtenir des informations sur la position de négociation du Saint-Siège avant le renouvellement de l'accord en septembre 2020. Le ciblage de la mission d'étude à Hong Kong et de son diocèse catholique pourrait également constituer une source d'informations précieuse pour surveiller les relations du diocèse avec le Vatican et sa position sur le mouvement pro-démocratique à Hong Kong, dans un contexte de manifestations généralisées et de la récente loi sur la sécurité nationale à Hong Kong.

While there is considerable overlap between the observed TTPs of RedDelta and the threat activity group publicly referred to as Mustang Panda (also known as BRONZE PRESIDENT and HoneyMyte), there are a few notable distinctions which lead us to designate this activity as RedDelta:

• The version of PlugX used by RedDelta in this campaign uses a different C2 traffic encryption method and has a different configuration encryption mechanism than traditional PlugX.
• The malware infection chain employed in this campaign has not been publicly reported as used by Mustang Panda.

In addition to the targeting of entities related to the Catholic Church, Insikt Group also identified RedDelta targeting law enforcement and government entities in India and a government organization in Indonesia.

Figure 1: Selection of main differences between PlugX variants and the infection chain used by RedDelta and Mustang Panda.

Key Judgments

• Le ciblage d'entités liées à l'Église catholique est probablement révélateur des objectifs du PCC visant à consolider son contrôle sur l'Église catholique « clandestine », à« siniser les religions » en Chine et à réduire l'influence perçue du Vatican au sein de la communauté catholique chinoise.
• Due to RedDelta’s targeting of organizations that heavily align to Chinese strategic interests, use of shared tooling traditionally used by China-based groups, and overlaps with a suspected Chinese state-sponsored threat activity group, Insikt Group believes that the group likely operates on behalf of the People’s Republic of China (PRC) government.
• The identified RedDelta intrusions feature infrastructure, tooling, and victimology overlap with the threat activity group publicly reported as Mustang Panda (also known as BRONZE PRESIDENT and HoneyMyte). This includes the use of overlapping network infrastructure and similar victimology previously attributed to this group in public reporting, as well as using malware typically used by Mustang Panda, such as PlugX, Poison Ivy, and Cobalt Strike.

Background

China and the Catholic Church

Depuis de nombreuses années, des groupes soutenus par l'État chinois ciblent les minorités religieuses en République populaire de Chine, en particulier celles considérées comme faisant partie des «cinq poisons », telles que les communautés tibétaine, ouïghoure et musulmane, ainsi que les adeptes du Falun Gong. Insikt Group a rendu publics certains aspects de cette activité, notamment nos conclusions sur RedAlpha, la porte dérobée ext4 et les campagnes de type « watering hole » menées par Scanbox contre l'Administration centrale tibétaine, d'autres entités tibétaines et le Parti islamique du Turkistan. Plus récemment, en juillet 2020 , un acte d'accusation américain a identifié le ciblage d'e-mails appartenant à des personnalités religieuses chrétiennes chinoises — un pasteur basé à Xi'an, ainsi qu'un pasteur d'une église clandestine à Chengdu, ce dernier ayant été arrêté par la suite par le gouvernement chinois — par deux sous-traitants qui auraient agi pour le compte du ministère chinois de la Sécurité d'État (MSS). Les branches régionales du ministère chinois de la Sécurité publique (MPS) ont également été fortement impliquées dans la surveillance numérique des minorités ethniques et religieuses en République populaire de Chine, notamment par le Bureau de la sécurité publique du Xinjiang (XPSB) dans le cas des musulmans ouïghours.

Historiquement, la République populaire de Chine a toujours entretenu des relations très tumultueuses avec le Vatican et son organe directeur, le Saint-Siège. En particulier, la reconnaissance par le Saint-Siège des évêques de l'Église catholique « clandestine » chinoise, historiquement persécutée et traditionnellement fidèle au Vatican, ainsi que ses relations avec Taïwan, ont maintenu l'absence de relations officielles depuis les années 1950. Le PCC a perçu ce comportement comme une ingérence du Saint-Siège dans les affaires religieuses chinoises. En septembre 2018, la République populaire de Chine et le Saint-Siège ont conclu un accord provisoire historique d'une durée de deux ans, marquant une étape importante vers le rétablissement de leurs relations diplomatiques.

En vertu de l'accord provisoire, la Chine reprendrait davantage le contrôle des églises clandestines, tandis que le Vatican gagnerait en influence sur la nomination des évêques au sein de l'Église catholique « officielle » soutenue par l'État. Cet accord a suscité des réactions mitigées, les détracteurs estimant qu'il s'agissait d'une trahison envers l'Église clandestine et qu'il conduirait à une persécution accrue de ses membres. La plupart des critiques les plus sévères provenaient du clergé de Hong Kong. Un an après la signature de l'accord, de nombreux rapports ont souligné le silence du Vatican face aux manifestations qui ont éclaté à Hong Kong fin 2019, ce que les critiques ont qualifié de tentative d'éviter d'offenser Pékin et de compromettre l'accord de 2018.

Threat Analysis

Overview of Catholic Church Intrusions

Figure 2: Intelligence Card for RedDelta PlugX C2 Server 167.88.180[.]5.

Using Recorded Future RAT controller detections and network traffic analysis techniques, Insikt Group identified multiple PlugX C2 servers communicating with Vatican hosts from mid-May until at least July 21, 2020. Concurrently, we identified Poison Ivy and Cobalt Strike Beacon C2 infrastructure also communicating with Vatican hosts, a Vatican-themed phishing lure delivering PlugX, and the targeting of other entities associated with the Catholic Church.

Figure 3: Vatican lure document targeting the head of Hong Kong study mission to China.

Le document leurre de la figure 3, qui a déjà été signalé en relation avec des liens vers des cibles de l'Église catholique de Hong Kong, a été utilisé pour diffuser une charge utile PlugX personnalisée qui communiquait avec le domaine C2 systeminfor[.]com. Le document se présentait comme une lettre officielle du Vatican adressée à l'actuel chef de la Mission d'étude de Hong Kong en Chine. À l'heure actuelle, il est difficile de déterminer si les acteurs ont rédigé ce document eux-mêmes ou s'il s'agit d'un document légitime qu'ils ont réussi à obtenir et à exploiter. Étant donné que la lettre était adressée directement à cette personne, il est probable qu'elle ait été la cible d'une tentative d'hameçonnage. De plus, cet échantillon ayant été compilé après des signes d'intrusion dans le réseau du Vatican, il est également possible que l'appât de phishing ait été envoyé via un compte compromis du Vatican. Cette hypothèse est corroborée par l'identification de communications entre les C2 PlugX et un serveur de messagerie du Vatican dans les jours qui ont précédé la date de compilation de l'échantillon et sa première soumission à des référentiels publics de logiciels malveillants.

Le chef de la mission d'étude à Hong Kong est considéré comme le représentant de facto du pape en Chine et un lien essentiel entre Pékin et le Vatican. Le prédécesseur à ce poste a joué un rôle clé dans la finalisation de l'accord provisoire de 2018 entre la Chine et le Vatican, faisant de son successeur une cible précieuse pour la collecte de renseignements avant l'expiration de l'accord et son probable renouvellement en septembre 2020.

Further entities associated with the Catholic Church were also targeted by RedDelta in June and July 2020 using PlugX, including the mail servers of an international missionary center based in Italy and the Catholic Diocese of Hong Kong.

Figure 4: Union of Catholic Asian News article lure document (left), and Qum, the Vatican of Islam lure document (right).

Insikt Group a identifié deux autres leurres de phishing chargeant la même variante personnalisée de PlugX, qui communiquaient tous deux avec la même infrastructure C2 que le leurre du Vatican. Le premier échantillon comprenait un document leurre imitant un bulletin d'information de l'Union of Catholic Asian News concernant l'introduction imminente de la nouvelle loi sur la sécurité nationale à Hong Kong. Le contenu du fichier leurre, intitulé « À propos du projet de loi chinoise sur la sécurité à Hong Kong.doc », a été extrait d'un article légitime de l'Union of Catholic Asian News. L'autre échantillon fait également référence au Vatican en utilisant un document intitulé « QUM, IL VATICANO DELL'ISLAM.doc » comme document leurre. Ce document leurre particulier se traduit par « Qom, le Vatican de l'islam », en référence à la ville iranienne de Qom, un important centre politique et religieux chiite. Cette citation est tirée des écrits de Franco Ometto, un universitaire catholique italien vivant en Iran. Bien que la cible directe de ces deux leurres ne soit pas claire, tous deux ont un lien avec l'Église catholique.

Nous estimons que cette mesure vise à la fois à renforcer le contrôle de la Chine sur l'Église catholique clandestine en Chine et à réduire l'influence perçue du Vatican sur les catholiques chinois. De même, l'attention portée aux catholiques de Hong Kong dans le contexte des manifestations pro-démocratiques et de la récente loi sur la sécurité nationale correspond aux intérêts stratégiques de la Chine, compte tenu notamment de la position anti-Pékin de nombreux membres de cette communauté, dont l'ancien évêque de Hong Kong, le cardinal Joseph Zen Ze-kiun.

Outlook

Nos recherches ont mis au jour une campagne présumée soutenue par l'État chinois visant plusieurs entités de premier plan associées à l'Église catholique, à l'approche du renouvellement probable de l'accord provisoire entre la Chine et le Vatican en septembre 2020. Le réchauffement des relations diplomatiques entre le PCC et le Saint-Siège est généralement interprété comme un moyen de faciliter la surveillance et le contrôle accrus de l'Église catholique non officielle. Cela soutient également l'objectif plus large déclaré par le PCC de « siniser les religions » en Chine. En outre, cela démontre que l'intérêt de la Chine pour le contrôle et la surveillance des minorités religieuses ne se limite pas à celles qui font partie des « cinq poisons », comme en témoignent la persécution et la détention continues des membres d'églises clandestines et les allégations de surveillance physique des églises catholiques et protestantes officielles.

L'ambassadeur itinérant des États-Unis pour la liberté religieuse internationale a récemment exprimé son inquiétude quant à l'impact de la nouvelle loi sur la sécurité nationale à Hong Kong, déclarant qu'elle « pourrait considérablement porter atteinte à la liberté religieuse ». Le ciblage du diocèse catholique de Hong Kong constitue probablement une source d'informations précieuse pour surveiller la position du diocèse sur le mouvement pro-démocratique à Hong Kong et ses relations avec le Vatican. Cela pourrait annoncer un durcissement des restrictions à la liberté religieuse dans la région administrative spéciale, en particulier lorsqu'elle coïncide avec des positions pro-démocratiques ou anti-Pékin.

RedDelta is a highly active threat activity group targeting entities relevant to Chinese strategic interests. Despite the group’s consistent use of well-known tools such as PlugX and Cobalt Strike, infrastructure reuse, and operations security failures, these intrusions indicate RedDelta is still being tasked to satisfy intelligence requirements. In particular, this campaign demonstrates a clear objective to target religious bodies, and therefore we feel this is particularly pertinent for religious and non-governmental organizations (NGOs) to take note and invest in network defenses to counter the threat posed by Chinese state-sponsored threat activity groups like RedDelta. A lack of ability to invest in security and detection measures for many NGOs and religious organizations greatly increases the likelihood of success for well-resourced and persistent groups, even using well-documented tools, TTPs, and infrastructure.

Network Defense Recommendations

Recorded Future recommends that users conduct the following measures to detect and mitigate activity associated with RedDelta activity:

• Configure your intrusion detection systems (IDS), intrusion prevention systems (IPS), or any network defense mechanisms in place to alert on — and upon review, consider blocking illicit connection attempts from — the external IP addresses and domains listed in the appendix.

Additionally, we advise organizations to follow the following general information security best practice guidelines:

• Keep all software and applications up to date; in particular, operating systems, antivirus software, and core system utilities.
• Filter email correspondence and scrutinize attachments for malware.
• Make regular backups of your system and store the backups offline, preferably offsite so that data cannot be accessed via the network.
• Have a well-thought-out incident response and communications plan.
• Adhere to strict compartmentalization of company-sensitive data. In particular, look at which data anyone with access to an employee account or device would have access to (for example, through device or account takeover via phishing).
• Strongly consider instituting role-based access, limiting company-wide data access, and restricting access to sensitive data.
• Employ host-based controls; one of the best defenses and warning signals to thwart attacks is to conduct client-based host logging and intrusion detection capabilities.
• Implement basic incident response and detection deployments and controls like network IDS, netflow collection, host logging, and web proxy, alongside human monitoring of detection sources.
• Be aware of partner or supply chain security standards. Being able to monitor and enforce security standards for ecosystem partners is an important part of any organization’s security posture.

Note de l'éditeur : cet article est un extrait d'un rapport complet. Pour lire l'intégralité de l'analyse, click here to download the report as a PDF.