Chinese hackers richt pijlen meer op Europese diplomaten sinds oorlog in Oekraïne

Een Chinese hackersgroep valt steeds vaker diplomaten in Europa aan nu de oorlog in Oekraïne escaleert. Hierbij worden valse e-mails verstuurd om malware te verspreiden.    

Hiervoor waarschuwt Proofpoint op basis van nieuw onderzoek. Het gaat om TA416 (ook bekend als RedDelta), een aanvalsgroep die erom bekend staat banden te hebben met de Chinese staat en het al enkele jaren gemunt heeft op Europa. Proofpoint volgt deze speler al sinds 2020, maar het aantal aanvallen is sterk toegenomen sinds de Russische troepen zich begonnen te verzamelen bij de grens van Oekraïne.

E-mailadres van diplomaat misbruikt

Onlangs gebruikte TA416 een gecompromitteerd e-mailadres van een diplomaat uit een Europees NAVO-land om cyberaanvallen uit te voeren op de diplomatieke kantoren van een ander land. Het doelwit werkte bij vluchtelingen- en migrantendiensten.  

De TA416-campagnes gebruiken webbugs om hun doelwitten in kaart te brengen voordat ze de malware verspreiden. Zo wordt voor de aanvaller duidelijk of het doelwit geneigd is e-mails te openen waarin gebruik wordt gemaakt van social engineering. Dit doet vermoeden dat TA416 zich meer richt op specifieke doelwitten en kan een manier zijn om te voorkomen dat ze worden ontdekt.

PlugX malware

De campagnes bevatten schadelijke links en valse documenten die te maken hebben met Oekraïense vluchtelingen. Het doel is om de slachtoffers te infecteren met een malware, genaamd PlugX. PlugX is een RAT (Remote Access Trojan) die, eenmaal geïnstalleerd, kan worden gebruikt om de apparatuur van het slachtoffer volledig te besturen.

"Het gebruik van webbugs wijst erop dat TA416 zorgvuldig uitkiest bij welke doelwitten de groep malware wil verspreiden. In het verleden gebruikte de groep voornamelijk webbug-links en malware-links om de ontvangst te bevestigen. In 2022 begon de groep gebruikers te profileren om daarna pas malware-links af te leveren. Dit kan een poging zijn van TA416 om te voorkomen dat hun schadelijke tools worden ontdekt en publiekelijk bekend worden gemaakt. TA416 heeft zijn focus verlegd van grootschalige phishing-campagnes naar gerichte aanvallen op doelwitten die actief zijn en bereid zijn om e-mails te openen. Hiermee verhoogt de cybercriminele groep de slagingskans wanneer een e-mail wordt opgevolgd met schadelijke malware", aldus onderzoekers van Proofpoint.

Het volledige onderzoek is hier gepubliceerd.