Hackers asociados al Ministerio de Seguridad del Estado de China (MSS) han sido vinculados a ataques en 17 paÃses diferentes en Asia, Europa y América del Norte desde 2021 hasta 2023.
La firma de ciberseguridad Recorded Future atribuyó el conjunto de intrusiones a un grupo estatal al que sigue bajo el nombre de RedHotel (anteriormente conocido como Threat Activity Group-22 o TAG-22), que se superpone con un conjunto de actividades ampliamente monitoreadas como Aquatic Panda, Bronze University, Charcoal Typhoon, Earth Lusca y Red Scylla (o Red Dev 10).
Activo desde 2019, algunos de los sectores prominentes atacados por este prolÃfico actor incluyen la academia, la aeroespacial, el gobierno, los medios de comunicación, las telecomunicaciones y la investigación. Durante el perÃodo, la mayorÃa de las vÃctimas fueron organizaciones gubernamentales. "RedHotel tiene una doble misión de recolección de inteligencia y espionaje económico", dijo la empresa de ciberseguridad, destacando su persistencia, intensidad operativa y alcance global. "Se dirige tanto a entidades gubernamentales para obtener inteligencia tradicional como a organizaciones involucradas en la investigación de la COVID-19 y el desarrollo tecnológico".
Trend Micro, a principios de enero de 2022, describió al adversario como un "actor de amenazas altamente calificado y peligroso motivado principalmente por el ciberespionaje y las ganancias financieras". Desde entonces, se ha vinculado al grupo con la explotación de fallas en Log4Shell, asà como con ataques dirigidos a telecomunicaciones, academia, investigación y desarrollo, y organizaciones gubernamentales en Nepal, Filipinas, Taiwán y Hong Kong para desplegar puertas traseras para acceso a largo plazo.
Las cadenas de ataque montadas por RedHotel han utilizado aplicaciones de cara al público para el acceso inicial, seguidas de la utilización de una combinación de herramientas de seguridad ofensiva como Cobalt Strike y Brute Ratel C4 (BRc4) y familias de malware personalizadas como FunnySwitch, ShadowPad, Spyder y Winnti.
Un aspecto destacado del modus operandi de este actor es el uso de una infraestructura de múltiples niveles, cada uno enfocado en la exploración inicial y el acceso a largo plazo a través de servidores de control y comando. Utiliza predominantemente NameCheap para el registro de dominios.
En una campaña a fines de 2022, se dice que RedHotel aprovechó un certificado de firma de código robado perteneciente a una empresa de juegos taiwanesa para firmar un archivo DLL responsable de cargar BRc4. La herramienta de pos-explotación, por su parte, está configurada para comunicarse con la infraestructura gubernamental vietnamita comprometida y abusada. "RedHotel ha ejemplificado un alcance y una escala implacables de la actividad de ciberespionaje patrocinada por el estado chino al mantener un alto ritmo operativo y dirigirse a organizaciones del sector público y privado en todo el mundo", dijo Recorded Future.
Este desarrollo se produce mientras The Washington Post informó que los hackers chinos tenÃan "acceso profundo y persistente" a redes de defensa clasificadas en Japón, lo que llevó a la Agencia de Seguridad Nacional de Estados Unidos (NSA), que descubrió la violación a finales de 2020, a informar personalmente del asunto a funcionarios del gobierno.
¿Quieres saber más?