このレポートでは、中国政府が支援すると思われる脅威活動グループRedDeltaが実施した最近の活動について詳しく説明しています。 この活動は、大規模な自動ネットワークトラフィック分析と専門家による分析を組み合わせて特定されました。 このレポートは、中国のサイバー脅威活動に関連する戦略的および運用上のインテリジェンス要件を持つ個人や組織、および東南アジアとヨーロッパの政府機関のネットワーク防御者にとって最も興味深いものです。

Executive Summary

Recorded FutureのInsikt Groupは、PlugXバックドアのカスタマイズされた亜種を使用して、ヨーロッパおよび東南アジアの組織を標的とする、中国国家が支援する脅威活動グループであると思われるRedDeltaに起因する活動を引き続き追跡しています。 少なくとも2019年以降、RedDeltaは東南アジア、特にミャンマーとベトナムで一貫して活動してきましたが、世界的な地政学的イベントに対応して定期的にターゲティングを調整してきました。 これは、2021年の中国共産党(CCP)とバチカン当局者との会談に先立って、グループがバチカンやその他のカトリック組織を標的にしたこと(1,2)や、2022年を通じて、ロシアのウクライナ侵攻を受けて欧州の政府や外交機関を標的にする方向にシフトしたことから、歴史的に明らかです。

2022年9月から11月までの3ヶ月間、RedDeltaは悪意のあるショートカット(LNK)ファイルを使用した感染チェーンを定期的に使用し、これによりダイナミックリンクライブラリ(DLL)の検索順序ハイジャック実行チェーンがトリガーされ、一貫して更新されるPlugXバージョンをロードしています。 この期間を通じて、このグループは、ヨーロッパ内の政府と移民政策に固有のおとり文書を繰り返し採用しました。 注目すべきは、2022年8月上旬にRedDeltaのC2(C2)インフラストラクチャと通信する貿易に焦点を当てた欧州の政府部門を特定したことです。 この活動は、このC2インフラストラクチャを使用し、EUの貿易をテーマにしたおとり文書を特徴とするRedDelta PlugXサンプルが公開マルウェアリポジトリに浮上したのと同じ日に開始されました。 また、ミャンマーとベトナム国内でRedDelta C2インフラストラクチャと定期的に通信している可能性のある被害者エンティティも特定しました。

RedDeltaは、BRONZE PRESIDENT、Mustang Panda、TA416、Red Lich、HoneyMyteという別名で公開業界の報告と密接に重複しています。

主な判断

• RedDeltaは、アジアとヨーロッパの政府および公共部門組織、およびチベットやカトリック教会関連団体などの中国本土の少数派グループに関連する海外の組織を標的とするなど、中国政府の戦略的利益に沿った長期的なサイバースパイキャンペーンを一貫して実施してきました。
• RedDeltaの活動に関する公開報告の量が多いにもかかわらず、RedDeltaは他の国家が支援するアクターと比較して高い運用テンポを採用しています。 また、このグループは、検出回避のためのアンチアナリシス用に大幅にカスタマイズされた、長期にわたるバックドアPlugXの亜種である主力バックドア(リモートアクセストロイの木馬[RAT])の開発も急速なペースで進めています。
• 2022年11月、RedDeltaの攻撃者は、アーカイブファイルの使用から、更新されたPlugXペイロードの配信に、簡略化されたショートカット(LNK)ファイルを含む悪意のある光ディスクイメージ(ISO)ファイルの使用に移行しました。

図1:高レベルのRedDeltaTTPと記録された将来のデータソーシンググラフィック。歴史的に報告されたTTPは灰色で示されています[1,2](出典:Recorded Future)_