RedDelta 黑客组织在最新的活动中部署 PlugX 恶意软件

Recorded Future 的 Insikt Group在一份新分析报告披露了RedDelta APT最新的攻击活动。

RedDelta 至少自 2012 年以来一直活跃。网络安全社区还以 BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、Mustang Panda（及其密切相关的Vertigo Panda）、Red Lich、Stately Taurus、TA416 和 Twill Typhoon 等名称对其进行跟踪。

该黑客团队以不断完善其感染链而闻名，最近的攻击利用 Visual Studio Code 隧道针对东南亚。

Recorded Future 记录的入侵事件包括使用 Windows 快捷方式 (LNK)、Windows 安装程序 (MSI) 和 Microsoft 管理控制台 ( MSC ) 文件（可能通过鱼叉式网络钓鱼进行分发），作为触发感染链的第一阶段组件，最终导致使用 DLL 侧加载技术部署PlugX 。

去年年底精心策划的某些活动还依赖包含托管在 Microsoft Azure 上的 HTML 文件链接的网络钓鱼电子邮件作为起点来触发下载 MSC 负载，进而释放负责使用合法可执行文件加载 PlugX 的 MSI 安装程序。

RedDelta 的策略不断改进，并始终领先于安全防御，据观察，该公司使用 Cloudflare 内容交付网络 (CDN) 将命令和控制 (C2) 流量代理到攻击者操作的 C2 服务器。

这进一步表明该组织的策略正在演变，并保持领先地位。这样做是为了试图与合法的 CDN 流量融合，并使检测工作复杂化。

Recorded Future 表示，已发现 10 台管理服务器与两台已知的 RedDelta C2 服务器进行通信。

完整技术报告PDF:

https://go.recordedfuture.com/hubfs/reports/cta-cn-2025-0109.pdf

新闻链接：

https://thehackernews.com/2025/01/reddelta-deploys-plugx-malware-to.html

讲述普通人能听懂的安全故事