RedGolfは、航空、自動車、教育、政府、メディア、情報技術、宗教団体など、幅広い地域で非常に活発に活動していることが知られています。 中国政府や治安機関にとって戦略的に関心のある組織は、標的にされるリスクが高まる可能性が高い。 このレポートでは、グループの最近の活動、戦術、手法、手順を調査し、組織向けの緩和戦略を提供します。

公開報告によると、RedGolfは2021年から2022年にかけて、カスタムモジュラーバックドアKEYPLUGのLinuxバージョン を使用して 、米国の州政府機関を標的にしました。 Insikt Groupは、少なくとも2021年から2023年にかけてRedGolfが使用したKEYPLUGサンプルと運用インフラストラクチャのより広範なクラスターを特定しました。 私たちは、GhostWolfという用語を使用して、この悪意のあるインフラストラクチャを積極的に追跡しています。 KEYPLUGに加えて、Cobalt Strike、PlugX、Dynamic DNS(DDNS)ドメインを使用してRedGolfを特定しましたが、これらはすべて中国の国家支援を受けた多くの脅威グループで一般的に使用されています。 Insikt Groupは、特定されたGhostWolfインフラストラクチャクラスター全体で、一般に報告されたAPT41/BARIUMキャンペーン間で複数のインフラストラクチャの重複を特定しました。

RedGolfは、さまざまなホスティングプロバイダーにまたがるコマンドアンドコントロールインフラストラクチャを使用して、KEYPLUGマルウェアとその派生物で被害者を引き続き標的にします。 このグループは以前、従来の登録ドメインとDDNSドメインの両方を混在させて利用しており、多くの場合、テクノロジーをテーマにしています。 このTTPは、DDNSの使用が減少することを除いて、比較的変わらないと考えています。

Cobalt Strike と PlugX の両方が、RedGolf などの中国国家支援の脅威活動グループによって被害者のマシンを標的にされることは、これらのツールによって提供される機能セット、すぐに利用できること、およびこれらの手法を使用する他の脅威アクターの数による責任を難読化する能力を考えると、 今後も続く 可能性が高いです。

Recorded Futureは、Cobalt StrikeとPlugXの両方のサーバーをプロアクティブに検出します。 このフィードをブロックリストやアラートに組み込むことをおすすめします。これにより、感染を防ぐことができます。

文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。