Gli hacker associati al Ministero della Sicurezza dello Stato cinese (MSS) sono stati collegati ad attacchi in 17 diversi paesi tra Asia, Europa e Nord America dal 2021 al 2023.
Dettagli sull’attività degli hacker
La società di cybersecurity Recorded Future ha attribuito questi attacchi a un gruppo di nazione-stato noto come “RedHotel”, precedentemente identificato come Threat Activity Group-22 o TAG-222. Questo gruppo ha sovrapposizioni con altre attività monitorate come Aquatic Panda, Bronze University, Charcoal Typhoon, Earth Lusca e Red Scylla. Attivo dal 2019, i settori principali presi di mira da questo attore includono l’accademia, l’aerospazio, il governo, i media, le telecomunicazioni e la ricerca. La maggior parte delle vittime nel periodo considerato erano organizzazioni governative.
Obiettivi e metodi degli hacker
RedHotel ha una doppia missione: raccolta di informazioni e spionaggio economico. Il gruppo prende di mira sia le entità governative per la raccolta di informazioni tradizionali sia le organizzazioni coinvolte nella ricerca su COVID-19 e nella R&D tecnologica. Hanno utilizzato vari strumenti e malware, tra cui “Cobalt Strike“, “Brute Ratel C4”, “FunnySwitch”, “ShadowPad“, “Spyder” e “Winnti”. Un aspetto notevole del loro modus operandi è l’uso di un’infrastruttura multi-livello, concentrandosi sia sulla ricognizione iniziale sia sull’accesso a lungo termine alla rete tramite server di comando e controllo.