Một tác nhân đe dọa có khả năng liên quan đến nhà nước do Trung Quốc bảo trợ có liên quan đến một chiến dịch gián điệp mạng nhắm vào các tổ chức chính phủ, học thuật, công nghệ và ngoại giao ở Đài Loan trong khoảng thời gian từ tháng 11/2023 đến tháng 4/2024.
Tập đoàn Insikt của Recorded Future đang theo dõi hoạt động này dưới tên RedJuliett, mô tả nó như một cụm hoạt động ở Phúc Châu, Trung Quốc, để hỗ trợ các mục tiêu thu thập thông tin tình báo của Bắc Kinh liên quan đến quốc gia Đông Á này. Nó cũng được theo dõi dưới tên Flax Typhoon và Ethereal Panda.
Trong số các quốc gia khác bị nhắm mục tiêu bởi tập thể đối thủ bao gồm Djibouti, Hồng Kông, Kenya, Lào, Malaysia, Philippines, Rwanda, Hàn Quốc và Hoa Kỳ.
Tổng cộng, có tới 24 tổ chức nạn nhân đã được quan sát thấy liên lạc với cơ sở hạ tầng tác nhân đe dọa, bao gồm các cơ quan chính phủ ở Đài Loan, Lào, Kenya và Rwanda. Nó cũng ước tính đã nhắm mục tiêu ít nhất 75 thực thể Đài Loan để trinh sát rộng hơn và khai thác tiếp theo.
"Nhóm này nhắm mục tiêu vào các thiết bị đối mặt với internet như tường lửa, cân bằng tải và các sản phẩm VPN mạng riêng ảo doanh nghiệp để truy cập ban đầu, cũng như cố gắng sử dụng SQL injection ngôn ngữ truy vấn có cấu trúc và khai thác truyền thư mục chống lại các ứng dụng web và SQL", công ty cho biết trong một báo cáo mới được công bố ngày hôm nay.
Theo tài liệu trước đây của CrowdStrike và Microsoft, RedJuliett được biết là sử dụng phần mềm nguồn mở SoftEther để tạo đường hầm lưu lượng độc hại ra khỏi mạng nạn nhân và tận dụng các kỹ thuật sống ngoài đất liền (LotL) để bay dưới radar. Nhóm này được cho là đã hoạt động ít nhất từ giữa năm 2021.
"Ngoài ra, RedJuliett đã sử dụng SoftEther để quản lý cơ sở hạ tầng hoạt động bao gồm cả các máy chủ do tác nhân đe dọa kiểm soát được thuê từ các nhà cung cấp VPS máy chủ riêng ảo và cơ sở hạ tầng bị xâm nhập thuộc ba trường đại học Đài Loan", Recorded Future lưu ý.
Truy cập ban đầu thành công được theo sau bởi việc triển khai web shell China Chopper để duy trì sự bền bỉ, cùng với các trình bao web nguồn mở khác như devilzShell, AntSword và Godzilla. Một vài trường hợp cũng kéo theo việc khai thác lỗ hổng leo thang đặc quyền Linux được gọi là Dirty Cow (CVE-2016-5195).
"RedJuliett có thể quan tâm đến việc thu thập thông tin tình báo về chính sách kinh tế và quan hệ thương mại và ngoại giao của Đài Loan với các nước khác", báo cáo cho biết.
RedJuliett, giống như nhiều tác nhân đe dọa khác của Trung Quốc, có khả năng nhắm mục tiêu vào các lỗ hổng trong các thiết bị truy cập internet vì các thiết bị này có khả năng hiển thị và giải pháp bảo mật hạn chế và nhắm mục tiêu vào chúng đã được chứng minh là một cách hiệu quả để mở rộng quyền truy cập ban đầu.