RedJuliett, un grupo probablemente patrocinado por el estado chino, llevó a cabo campañas de ciberespionaje dirigidas a Taiwán desde noviembre de 2023 hasta abril de 2024, según el proveedor de ciberseguridad Recorded Future. En un informe publicado el 24 de junio, Insikt Group, el equipo de investigación de Recorded Future, compartió sus hallazgos sobre las campañas. El grupo de piratas informáticos comprometió a 24 organizaciones, incluidas agencias gubernamentales de Taiwán, Laos, Kenia y Ruanda. El grupo también llevó a cabo un reconocimiento de la red mediante escaneo de vulnerabilidades o intentos de explotación contra más de 70 organizaciones académicas, gubernamentales, de grupos de expertos y tecnológicas en Taiwán, así como múltiples embajadas de facto que operan en la isla. Aproximadamente el 60% de las organizaciones de víctimas identificadas por RedJuliett estaban en Taiwán, y otras en Hong Kong, Corea del Sur, Laos, Estados Unidos, Ruanda, Kenia y Yibuti. Explotación de dispositivos vulnerables e inyecciones de SQL RedJuliett aprovechó vulnerabilidades conocidas en dispositivos conectados a Internet para obtener acceso inicial. Estos incluyen dispositivos de borde de red, como firewalls, redes privadas virtuales (VPN) y equilibradores de carga. El grupo también intentó inyectar lenguaje de consulta estructurado (SQL) y explotar directorios contra aplicaciones web y SQL. En algunos casos, los investigadores de Insikt Group observaron que el grupo realizaba actividades posteriores a la explotación utilizando webshells de código abierto y explotando una conocida vulnerabilidad de elevación de privilegios en el sistema operativo (SO) Linux. RedJuliett utilizó el software VPN de código abierto SoftEther para administrar la infraestructura operativa que consta de servidores controlados por actores de amenazas alquilados a proveedores de servidores privados virtuales (VPS) e infraestructura comprometida perteneciente a tres universidades taiwanesas. Acerca de RedJuliett RedJuliett es un nuevo grupo de ciberespionaje que opera desde Fuzhou, la capital de la provincia de Fujian, en China. Microsoft detectó por primera vez la actividad maliciosa del grupo en agosto de 2023. El gigante tecnológico dijo que observó una campaña de ciberespionaje dirigida a organizaciones en Taiwán y que utilizaba técnicas de vida fuera de la tierra (LotL) y SoftEther. Microsoft rastrea al grupo bajo el nombre de Flax Typhoon. Ese mismo mes, un informe de CrowdStrike sobre un grupo al que el proveedor de inteligencia de amenazas rastrea como Ethereal Panda mostró tácticas, técnicas y procedimientos muy similares (TTP) y el uso por parte del grupo del webshell de código abierto Godzilla. «RedJuliett se superpone estrechamente con los informes públicos bajo los alias Flax Typhoon (Microsoft) y Ethereal Panda (CrowdStrike)», señala el informe de Insikt Group. En el informe Recorded Future, los investigadores del Grupo Insikt observaron actividad administrativa sospechosa desde las direcciones IP de Chinanet geolocalizadas en Fuzhou, provincia de Fujian, hasta múltiples servidores RedJuliett SoftEther. “Este tráfico fue consistente con las conexiones VPN SoftEther establecidas y la interacción con un panel de inicio de sesión de Acunetix expuesto a Internet. Si bien actualmente se desconoce la posible afiliación de RedJuliett con el Ministerio de Seguridad del Estado de China (MSS) o con el Ejército Popular de Liberación (PLA), una ubicación operativa dentro de Fuzhou es consistente con el enfoque persistente del grupo en Taiwán”, se lee en el informe. Los investigadores del Grupo Insikt se refirieron a observaciones anteriores que muestran que las operaciones de inteligencia chinas con base en Fuzhou caen dentro del Comando del Teatro Oriental del EPL, que se centra en gran medida en apuntar a Taiwán. Con base en esta ubicación y la actividad del grupo, Insikt Group evaluó que RedJuliett probablemente esté patrocinado por el gobierno chino. “Las actividades de RedJuliett se alinean con los objetivos de Beijing de recopilar inteligencia sobre la política económica, el comercio y las relaciones diplomáticas de Taiwán. El grupo también apuntó a múltiples empresas de tecnología crítica, destacando la importancia estratégica de este sector para los actores de amenazas patrocinados por el estado chino”, dice el informe. Finalmente, los investigadores de inteligencia de amenazas de Insikt anticipan la explotación continua por parte de RedJuliett de dispositivos vulnerables de cara al público. Esta predicción se basa en el éxito pasado del grupo con los TTP dirigidos a estas debilidades.