Sommario
Il gruppo RedDelta, sponsorizzato dallo stato cinese, continua a condurre operazioni mirate contro enti governativi e organizzazioni in Taiwan, Mongolia e Sud-est asiatico. Utilizzando varianti personalizzate di malware PlugX e metodi avanzati di attacco, il gruppo dimostra un’elevata capacità di adattamento e sofisticazione.
Obiettivi e metodi operativi
Gli attacchi di RedDelta mirano principalmente a raccogliere informazioni sensibili. Gli obiettivi comprendono:
- Governi locali e agenzie pubbliche.
- Settori economici strategici, con un focus su infrastrutture critiche.
Tra le tecniche impiegate, spicca l’uso di DLL hijacking, che consente di sfruttare processi legittimi per caricare il malware senza essere rilevati. Uno degli esempi più rilevanti è il file LDeviceDetectionHelper.exe, situato nella directory AppData, utilizzato per eseguire il payload di PlugX.
Varianti di PlugX e strumenti di rilevamento
Le varianti di PlugX utilizzate da RedDelta includono implementazioni RC4 personalizzate e catene di infezione che sfruttano file MSI, DLL e LNK. Il malware è progettato per eseguire:
- Furto di dati attraverso la compromissione dei sistemi.
- Persistenza avanzata, consentendo accessi ripetuti agli stessi dispositivi.
Per identificare queste minacce, sono state sviluppate regole YARA e Sigma, come:
- Rilevamento dei file DLL e MSI usati per il caricamento di PlugX.
- Monitoraggio dei file LNK che avviano comandi PowerShell malevoli.
Implicazioni strategiche
L’attività di RedDelta evidenzia il crescente ruolo della Cina nel cyberspionaggio mirato. Gli attacchi non solo rappresentano una minaccia per i governi asiatici, ma indicano anche una strategia di lungo termine per ottenere vantaggi geopolitici ed economici.
Come difendersi
Per mitigare il rischio associato a questi attacchi, si consiglia di:
- Implementare regole di rilevamento avanzate, come quelle fornite da Recorded Future.
- Monitorare le attività sospette nei file system, in particolare nelle directory AppData.
- Aggiornare regolarmente il software e applicare patch di sicurezza.
- Adottare un monitoraggio continuo, per identificare e rispondere rapidamente alle anomalie.
L’attività di RedDelta rappresenta una minaccia significativa per la sicurezza informatica in Asia. Il loro utilizzo di varianti PlugX e tecniche avanzate sottolinea l’importanza di un approccio proattivo alla sicurezza per contrastare gruppi sponsorizzati da stati nazionali.