Un groupe d’activités de menace parrainé par l’État chinois nommé RougeAlpha a été attribuée à une campagne pluriannuelle de vol de masse d’informations d’identification visant des organisations humanitaires mondiales, des groupes de réflexion et des organisations gouvernementales.

« Dans cette activité, RedAlpha a très probablement cherché à accéder aux comptes de messagerie et à d’autres communications en ligne d’individus et d’organisations ciblés », a déclaré Recorded Future. divulgué dans un nouveau rapport.

Acteur de menace moins connu, RedAlpha a été le premier documenté par Citizen Lab en janvier 2018 et a l’habitude de mener des opérations de cyberespionnage et de surveillance dirigées contre la communauté tibétaine, certaines en Inde, pour faciliter la collecte de renseignements grâce au déploiement du Porte dérobée NjRAT.

« Les campagnes […] combiner une reconnaissance légère, un ciblage sélectif et divers outils malveillants », Recorded Future c’est noté à l’époque.

Depuis lors, les activités malveillantes entreprises par le groupe ont consisté à armer jusqu’à 350 domaines qui usurpent des entités légitimes telles que la Fédération internationale des droits de l’homme (FIDH), Amnesty International, l’Institut Mercator pour les études chinoises (MERICS), Radio Free Asia (RFA ) et l’Institut américain de Taïwan (AIT), entre autres.

Le ciblage constant par l’adversaire des groupes de réflexion et des organisations humanitaires au cours des trois dernières années est conforme aux intérêts stratégiques du gouvernement chinois, ajoute le rapport.

Les domaines usurpés, qui incluent également des fournisseurs légitimes de services de messagerie et de stockage tels que Yahoo!, Google et Microsoft, sont ensuite utilisés pour cibler des organisations et des individus proches afin de faciliter le vol d’informations d’identification.

Les chaînes d’attaque commencent par des e-mails de phishing contenant des fichiers PDF qui intègrent des liens malveillants pour rediriger les utilisateurs vers des pages de destination malveillantes qui reflètent les portails de connexion par e-mail des organisations ciblées.

« Cela signifie qu’ils étaient destinés à cibler des individus directement affiliés à ces organisations plutôt que de simplement imiter ces organisations pour cibler d’autres tiers », ont noté les chercheurs.

Alternativement, les domaines utilisés dans l’activité de phishing d’informations d’identification hébergent des pages de connexion génériques pour des fournisseurs de messagerie populaires tels qu’Outlook, en plus d’émuler d’autres logiciels de messagerie tels que Zimbra utilisés par ces organisations spécifiques.

Signe supplémentaire de l’évolution de la campagne, le groupe s’est également fait passer pour des pages de connexion associées aux ministères des Affaires étrangères de Taïwan, du Portugal, du Brésil et du Vietnam, ainsi qu’au Centre national d’informatique de l’Inde (NIC), qui gère l’infrastructure et les services informatiques du gouvernement indien.

Le cluster RedAlpha semble en outre être lié à une société chinoise de sécurité de l’information connue sous le nom de Jiangsu Cimer Information Security Technology Co. Ltd. (anciennement Nanjing Qinglan Information Technology Co., Ltd.), soulignant l’utilisation continue d’entrepreneurs privés par les services de renseignement. agences dans le pays.

« [The targeting of think tanks, civil society organizations, and Taiwanese government and political entities]couplé à l’identification d’opérateurs probablement basés en Chine, indique un lien probable entre l’État chinois et l’activité de RedAlpha », ont déclaré les chercheurs.