Dopo un breve periodo di inattività, Sophos X-Ops continua a osservare e a rispondere a quella che, a nostro avviso, è un’operazione di cyber-spionaggio diretta dallo Stato cinese e che ha come obiettivo un’importante agenzia del governo di una nazione del Sud-Est asiatico.
Nel corso delle indagini su questa attività, che abbiamo identificato con il nome di Operazione Crimson Palace, Sophos Managed Detection and Response (MDR) ha rilevato una telemetria che indica la compromissione di altre organizzazioni governative nella regione e ha individuato attività correlate a questi cluster di minacce esistenti in altre organizzazioni della stessa regione. Gli aggressori hanno costantemente utilizzato altre reti di aziende e servizi pubblici compromessi in quella regione per distribuire malware e strumenti con la scusa di un punto di accesso affidabile
Il nostro precedente rapporto riguardava l’attività di tre cluster di minacce alla sicurezza (STAC) associati all’attività di cyber-spionaggio: il Cluster Alpha (STAC1248), il Cluster Bravo (STAC1870) e il Cluster Charlie (STAC1305), tutti rilevati tra marzo e agosto 2023. Tutti e tre i cluster di minacce che operavano all’interno della proprietà dell’agenzia bersaglio si sono disattivati nell’agosto 2023.
Tuttavia, il Cluster Charlie ha ripreso l’attività diverse settimane dopo. Questo fenomeno, che comprendeva un keylogger precedentemente non documentato che abbiamo chiamato “TattleTale”, ha segnato l’inizio di una seconda fase e di un’espansione dell’azione di intrusione in tutta la regione, che è tuttora in corso.
Sophos MDR ha inoltre osservato una serie di rilevamenti in linea con gli strumenti utilizzati dal Cluster Bravo presso entità esterne all’agenzia governativa oggetto del nostro rapporto iniziale, tra cui due enti non governativi di servizio pubblico e altre realtà, tutte con sede nella stessa regione. Questi rilevamenti includevano la telemetria che mostrava l’uso dei sistemi di un’organizzazione come punto di collegamento C2 e come terreno di stoccaggio per gli strumenti, nonché lo stoccaggio del malware sul server Microsoft Exchange compromesso di un’altra entità.