Una campagna di cyber spionaggio sponsorizzata dallo stato cinese, in corso da diversi anni, sta prendendo di mira organizzazioni accademiche, politiche e governative sudcoreane. Nota come TAG-74, l’attività è stata collegata all’intelligence militare cinese, rappresentando una minaccia significativa per vari settori in Corea del Sud, Giappone e Russia.
Attacchi di Ingegneria Sociale
Gli attacchi di ingegneria sociale lanciati dagli avversari utilizzano file CHM di Microsoft per distribuire una variante personalizzata di un backdoor Visual Basic Script open-source chiamato ReVBShell. Questo backdoor serve a distribuire il trojan remoto Bisonal, capace di eseguire numerose operazioni dannose.
Collegamenti con Altri Gruppi
L’uso di ReVBShell è stato collegato ad altri due gruppi connessi alla Cina, noti come Tick e Tonto Team. TAG-74 è detto essere strettamente correlato a Tick, evidenziando l’uso comune di strumenti tra i gruppi di minaccia cinesi.
Obiettivi e Tattiche
La campagna osservata di TAG-74 è indicativa degli obiettivi a lungo termine del gruppo contro obiettivi sudcoreani. Data la persistente attenzione del gruppo sulle organizzazioni sudcoreane nel corso degli anni, è probabile che continuerà ad essere altamente attivo nella raccolta di informazioni di intelligence su obiettivi strategici in Corea del Sud, così come in Giappone e Russia.