Một nhóm hoạt động đe dọa do nhà nước Trung Quốc tài trợ có tên RedAlpha đã bị quy kết bởi một chiến dịch đánh cắp thông tin xác thực hàng loạt kéo dài nhiều năm nhằm vào các tổ chức nhân đạo, tổ chức tư vấn và chính phủ toàn cầu.
“Trong hoạt động này, RedAlpha rất có thể đã tìm cách truy cập vào tài khoản email và các phương tiện liên lạc trực tuyến khác của các cá nhân và tổ chức được nhắm mục tiêu”, Recorded Future tiết lộ trong một báo cáo mới.
Một kẻ đe dọa ít được biết đến hơn, RedAlpha được Citizen Lab ghi nhận lần đầu tiên vào tháng 1 năm 2018 và có lịch sử thực hiện các hoạt động giám sát và gián điệp mạng nhằm vào cộng đồng người Tây Tạng, một số người ở Ấn Độ, để tạo điều kiện thu thập thông tin tình báo thông qua việc triển khai cửa hậu NjRAT.
“Các chiến dịch […] kết hợp trinh sát ánh sáng, nhắm mục tiêu có chọn lọc và công cụ độc hại đa dạng, “Recorded Future lưu ý vào thời điểm đó.
Kể từ đó, các hoạt động độc hại do nhóm thực hiện đã liên quan đến việc vũ khí hóa 350 tên miền giả mạo các thực thể hợp pháp như Liên đoàn Quốc tế về Nhân quyền (FIDH), Tổ chức Ân xá Quốc tế, Viện Mercator về Nghiên cứu Trung Quốc (MERICS), Đài Châu Á Tự do (RFA ), và Viện Hoa Kỳ tại Đài Loan (AIT), trong số những người khác.
Báo cáo cho biết thêm, việc đối thủ nhắm mục tiêu nhất quán vào các tổ chức tư vấn và nhân đạo trong ba năm qua phù hợp với lợi ích chiến lược của chính phủ Trung Quốc, báo cáo cho biết thêm.
Các miền mạo danh, cũng bao gồm các nhà cung cấp dịch vụ lưu trữ và email hợp pháp như Yahoo !, Google và microsoft, sau đó được sử dụng để nhắm mục tiêu các tổ chức và cá nhân lân cận nhằm tạo điều kiện cho hành vi trộm cắp thông tin xác thực.
Chuỗi tấn công bắt đầu với các email lừa đảo chứa các tệp PDF nhúng các liên kết độc hại để chuyển hướng người dùng đến các trang đích giả mạo phản ánh cổng đăng nhập email cho các tổ chức được nhắm mục tiêu.
Các nhà nghiên cứu lưu ý: “Điều này có nghĩa là họ nhằm vào các cá nhân liên kết trực tiếp với các tổ chức này thay vì chỉ đơn giản là bắt chước các tổ chức này để nhắm mục tiêu các bên thứ ba khác”.
Ngoài ra, các miền được sử dụng trong hoạt động lừa đảo thông tin xác thực đã được phát hiện lưu trữ các trang đăng nhập chung cho các nhà cung cấp email phổ biến như Outlook, cùng với việc mô phỏng phần mềm email khác như Zimbra được các tổ chức cụ thể này sử dụng.
Trong một dấu hiệu khác về sự tiến triển của chiến dịch, nhóm cũng đã mạo danh các trang đăng nhập liên kết với Đài Loan, Bồ Đào Nha, Brazil và các bộ ngoại giao của Việt Nam cũng như Trung tâm Tin học Quốc gia của Ấn Độ (NIC), nơi quản lý cơ sở hạ tầng và dịch vụ CNTT cho người Ấn Độ. chính quyền.
Cụm RedAlpha dường như được kết nối với một công ty bảo mật thông tin Trung Quốc có tên là Jiangsu Cimer Information Security Technology Co., Ltd. (trước đây là Nanjing Qinglan Information Technology Co., Ltd.), nhấn mạnh việc các cơ quan tình báo tiếp tục sử dụng các nhà thầu tư nhân trong quốc gia.
“[The targeting of think tanks, civil society organizations, and Taiwanese government and political entities]cùng với việc xác định các nhà khai thác có khả năng có trụ sở tại Trung Quốc, cho thấy có khả năng có mối liên hệ giữa nhà nước Trung Quốc với hoạt động RedAlpha “, các nhà nghiên cứu cho biết.
.
