Ciberdelincuentes asociados con el Ministerio de Seguridad del Estado (MSS) de China se han relacionado con ataques en 17 países diferentes en Asia, Europa y América del Norte entre 2021 y 2023.

La firma de seguridad cibernética Recorded Future atribuyó el conjunto de intrusiones a un grupo de estado-nación que rastrea bajo el nombre de RedHotel (anteriormente Threat Activity Group-22 o TAG-222), que se superpone con un grupo de actividad ampliamente monitoreado como Aquatic Panda , Bronze University , Charcoal Typhoon, Earth Lusca y Red Scylla (o Red Dev 10).

Activo desde 2019, algunos de los sectores destacados a los que se dirige el prolífico actor abarcan la academia, la industria aeroespacial, el gobierno, los medios, las telecomunicaciones y la investigación. La mayoría de las víctimas durante el período fueron organizaciones gubernamentales.

“RedHotel tiene una doble misión de recopilación de inteligencia y espionaje económico”, dijo la compañía de ciberseguridad, destacando su persistencia, intensidad operativa y alcance global. «Se dirige tanto a las entidades gubernamentales para la inteligencia tradicional como a las organizaciones involucradas en la investigación y la I + D de tecnología COVID-19».

Trend Micro, a principios de enero de 2022, describió al adversario como un «actor de amenazas altamente calificado y peligroso motivado principalmente por el ciberespionaje y la ganancia financiera».

Desde entonces, el grupo se ha relacionado con la explotación de las fallas de Log4Shell, así como con ataques dirigidos a las telecomunicaciones, la academia, la investigación y el desarrollo y las organizaciones gubernamentales en Nepal, Filipinas, Taiwán y Hong Kong para implementar puertas traseras para el acceso a largo plazo.

Las cadenas de ataque montadas por RedHotel han armado aplicaciones públicas para el acceso inicial, seguidas de una combinación de herramientas de seguridad ofensivas como Cobalt Strike y Brute Ratel C4 (BRc4) y familias de malware a medida como FunnySwitch , ShadowPad , Spyder y Winnti .

Un aspecto digno de mención del modus operandi del actor es el uso de una infraestructura de varios niveles, cada uno de los cuales se centra en el reconocimiento inicial y el acceso a la red a largo plazo a través de servidores de mando y control. Utiliza predominantemente NameCheap para el registro de dominios.

En una campaña de finales de 2022, se dice que RedHotel aprovechó un certificado de firma de código robado perteneciente a una empresa de juegos taiwanesa para firmar un archivo DLL responsable de cargar BRc4. El kit de herramientas posterior a la explotación, por su parte, está configurado para comunicarse con la infraestructura gubernamental vietnamita comprometida y abusada.