详细内容或原文请订阅后点击阅览
“赤宫”:中国黑客集团如何渗透东南亚网络
这场长期的活动展示了网络间谍活动是如何在国家层面进行的。
来源:安全实验室新闻频道“赤宫”:中国黑客集团如何渗透东南亚网络
这场长期的活动展示了网络间谍活动是如何在国家层面进行的。
Sophos 专家发现,中国国家黑客开展了一项复杂且长期的网络间谍活动,旨在保持对东南亚政府组织网络的持续访问。该战役被称为“猩红宫殿”。
Sophos网络间谍试图访问关键IT系统、对特定用户进行侦察、收集敏感的军事和技术信息以及部署各种恶意程序进行远程控制。
尽管没有透露目标政府组织的名称,但已知其所在国家与中国在南海存在领土争端。这表明我们可能正在谈论菲律宾,该国此前曾遭受过中国“野马熊猫”组织的袭击。
赤宫行动包括 3 组活动,其中一些使用相同的策略:
- Cluster Alpha (STAC1248)(2023 年 3 月 - 2023 年 8 月)与 BackdoorDiplomacy、REF5961、Worok 和 TA428 组织有相似之处。从事服务器子网和 Active Directory 基础设施的侦察(STAC1870)(自 2023 年 3 月起),与 Unfading Sea Haze 具有共同特征。使用有效帐户横向移动和部署 EtherealGh0st 恶意软件 Cluster Charlie (STAC1305)(2023 年 3 月至 2024 年 4 月),与 Earth Longzhi(APT41 子组)重叠。使用 PocoProxy 建立持久访问并使用 HUI Loader 提供 Cobalt Strike。
Cluster Alpha 与其他威胁参与者的交叉点
簇交集