https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

中國駭客組織 RedDelta 鎖定台灣發動新一波間諜活動

2025 / 01 / 13
編輯部
中國駭客組織 RedDelta 鎖定台灣發動新一波間諜活動
資安研究機構 Recorded Future 最新調查報告指出,中國政府支持的駭客組織 RedDelta 於 2023 年 7 月至 2024 年 12 月期間,針對台灣、蒙古、緬甸、越南和柬埔寨等亞洲國家發動網路攻擊,部署客製化版本的 PlugX 後門程式,進行情報收集活動。
 
據調查,攻擊者利用多個誘餌文件進行滲透,其中包含 2024 年台灣總統候選人郭台銘相關內容、越南國慶節活動、蒙古防洪計畫,以及東南亞國協(ASEAN)會議邀請函等主題。研究顯示,該組織已成功入侵蒙古國防部(2024 年 8 月)和越南共產黨(2024 年 11 月)系統。
 
Recorded Future 的技術分析揭露,RedDelta 採用多層式攻擊手法,主要透過:
- Windows 捷徑檔(LNK)
- Windows 安裝程式(MSI)
- Microsoft 管理主控台檔案(MSC)
 
攻擊者經由魚叉式網路釣魚電子郵件散布這些檔案,最終使用 DLL 側載技術部署 PlugX 後門。值得注意的是,該組織近期開始利用 Cloudflare 內容傳遞網路(CDN)作為指揮控制伺服器(C2)流量的代理,企圖混淆於正常網路流量中,增加偵測難度。
 
資安專家指出,RedDelta 自 2012 年起持續活躍,在資安社群中也被稱為 BASIN、Bronze President、Mustang Panda 等代號。該組織近期攻擊手法不斷演進,包括濫用 Visual Studio Code 通道技術,這種戰術也逐漸被其他中國相關駭客組織如 Operation Digital Eye 和 MirrorFace 採用。

相關文章:中國APT組織MirrorFace 持續竊取日本機密 專家:恐為未來衝突預作準備
 
研究人員發現與 RedDelta 有關的 10 個管理伺服器皆註冊於中國聯通河南省分公司,顯示其可能來源。該組織的活動方向與中國戰略優先事項一致,主要針對被視為對中國共產黨政權構成威脅的組織及國家。
 
針對此威脅,台灣政府機關和企業應:
  •  強化電子郵件安全過濾機制,特別留意含有可疑附件的社交工程郵件
  •  定期更新系統及應用程式,降低遭受 DLL 側載攻擊的風險
  •  監控網路流量異常,特別是經由 CDN 的可疑連線行為
  •  建立完善的資安事件應變計畫,定期進行演練
本文轉載自thehackernews。