Des pirates informatiques associés au ministère chinois de la Sécurité d’État (MSS) ont été liés à des attaques dans 17 pays différents en Asie, en Europe et en Amérique du Nord de 2021 à 2023.
La société de cybersécurité Recorded Future a attribué l’intrusion à un groupe d’États-nations qu’elle suit sous le nom RedHotel (anciennement Threat Activity Group-22 ou TAG-222), qui chevauche un groupe d’activités largement surveillées comme Aquatic Panda, Bronze University, Charcoal Typhoon, Earth Lusca et Red Scylla (ou Red Dev 10).
Actif depuis 2019, certains des secteurs de premier plan ciblés par l’acteur prolifique comprennent le milieu universitaire, l’aérospatiale, le gouvernement, les médias, les télécommunications et la recherche. La majorité des victimes au cours de la période étaient des organisations gouvernementales.
« RedHotel a une double mission de collecte de renseignements et d’espionnage économique », a déclaré la société de cybersécurité, soulignant sa persistance, son intensité opérationnelle et sa portée mondiale. « Il cible à la fois les entités gouvernementales pour le renseignement traditionnel et les organisations impliquées dans la recherche et le développement technologique COVID-19. »
Trend Micro, début janvier 2022, a décrit l’adversaire comme un « acteur de menace hautement qualifié et dangereux principalement motivé par le cyberespionnage et le gain financier ».
Le groupe a depuis été lié à l’exploitation des failles de Log4Shell ainsi qu’à des attaques visant les télécommunications, les universités, la recherche et le développement et les organisations gouvernementales au Népal, aux Philippines, à Taïwan et à Hong Kong pour déployer des portes dérobées pour un accès à long terme.
Les chaînes d’attaque montées par RedHotel ont armé les applications destinées au public pour un accès initial, puis ont utilisé une combinaison d’outils de sécurité offensifs comme Cobalt Strike et Brute Ratel C4 (BRc4) et des familles de logiciels malveillants sur mesure telles que FunnySwitch, ShadowPad, Spyder et Winnti.
Un aspect remarquable du modus operandi de l’acteur est l’utilisation d’une infrastructure à plusieurs niveaux, chacun se concentrant sur la reconnaissance initiale et l’accès au réseau à long terme via des serveurs de commande et de contrôle. Il utilise principalement NameCheap pour l’enregistrement de domaine.
Dans une campagne fin 2022, RedHotel aurait exploité un certificat de signature de code volé appartenant à une société de jeux taïwanaise pour signer un fichier DLL responsable du chargement de BRc4. La boîte à outils post-exploitation, pour sa part, est configurée pour communiquer avec l’infrastructure gouvernementale vietnamienne compromise et abusée.
« RedHotel a illustré la portée et l’ampleur incessantes d’une activité de cyber-espionnage plus large parrainée par l’État de la RPC en maintenant un rythme opérationnel élevé et en ciblant les organisations des secteurs public et privé à l’échelle mondiale », a déclaré Recorded Future.
Le développement intervient alors que le Washington Post a rapporté que les pirates chinois avaient un « accès profond et persistant » aux réseaux de défense classifiés au Japon, ce qui a incité l’Agence américaine de sécurité nationale (NSA), qui a découvert la brèche fin 2020, à signaler personnellement l’affaire au gouvernement. fonctionnaires.
