Un grupo de amenazas patrocinado por el estado, probablemente vinculado a China, ha estado llevando a cabo ataques cibernéticos dirigidos a organizaciones gubernamentales, académicas, tecnológicas y diplomáticas en Taiwán desde noviembre de 2023 hasta abril de 2024.
El grupo, conocido como RedJuliett, opera en Fuzhou, China, y está relacionado con los objetivos de recolección de inteligencia de Pekín en relación con el país asiático oriental. También se le ha seguido la pista bajo los nombres de Flax Typhoon y Ethereal Panda.
Además de Taiwán, el colectivo también ha dirigido sus ataques contra otros países, incluidos Yibuti, Hong Kong, Kenia, Laos, Malasia, Filipinas, Ruanda, Corea del Sur y los Estados Unidos.
Hasta 24 organizaciones víctimas se comunican con la infraestructura de los actores de amenazas, incluidas agencias gubernamentales en Taiwán, Laos, Kenia y Ruanda. Además, se estima que el grupo ha apuntado al menos a 75 entidades taiwanesas para una amplia labor de reconocimiento y explotación posterior.
Según un nuevo informe publicado hoy, el grupo se dirige a dispositivos expuestos en Internet, como cortafuegos, equilibradores de carga y productos de redes privadas virtuales VPN empresariales para el acceso inicial, así como a intentos de inyección de lenguaje estructurado SQL y exploits de recorrido de directorios contra aplicaciones web y SQL.
RedJuliett se sabe que emplea el software de código abierto SoftEther para canalizar el tráfico malicioso fuera de las redes de las víctimas y aprovechar técnicas de uso de recursos del entorno (Living-off-the-land, LotL) para pasar desapercibido. Se cree que el grupo está activo desde al menos mediados de 2021, según CrowdStrike y Microsoft.
Además, RedJuliett utilizó SoftEther para administrar una infraestructura operativa que consiste en servidores controlados por los actores de amenazas arrendados a proveedores de servidores privados virtuales VPS e infraestructura comprometida perteneciente a tres universidades de Taiwán, según información de Recorded Future.
Un acceso inicial exitoso es seguido por el despliegue del shell web China Chopper para mantener la persistencia, junto con otros shells web de código abierto como devilzShell, AntSword y Godzilla. Algunos casos también han conllevado la explotación de una vulnerabilidad de escalada de privilegios de Linux conocida como DirtyCow (CVE-2016-5195).
Se sugiere que RedJuliett esté interesado en recolectar inteligencia sobre la política económica de Taiwán y las relaciones comerciales y diplomáticas con otros países.
De manera similar a otros actores de amenazas chinos, es probable que RedJuliett esté apuntando a vulnerabilidades en dispositivos expuestos en Internet debido a su visibilidad limitada y la efectividad de atacarlos para escalar el acceso inicial.
Vía The Hacker News
