[資安人文章分享] Sophos：中國國家支持的間諜活動──紅宮行動在東南亞擴散

Sophos 發布《紅宮行動：新工具、新戰術、新目標》報告，詳細說明這一個持續了近兩年的中國網路間諜活動在東南亞的最新進展。Sophos X-Ops 在今年 6 月首次揭露了此一被其命名為「紅宮行動」(Crimson Palace) 的活動，並詳細揭露了他們在某備受矚目的政府組織內發現的三個中國國家級獨立行動群組：群組 Alpha、群組 Bravo 和群組 Charlie。在 2023 年 8 月短暫休兵後，Sophos X-Ops 注意到群組 Bravo 和群組 Charlie 的活動訊號再次增強，不僅出現在最初的目標內，也擴展至該地區的其他多個組織。

延伸閱讀：Sophos揭露《紅宮行動》報告：中國國家支持的駭客組織鎖定東南亞政府機構

在調查這些重新出現的活動時，Sophos X-Ops 發現了一種新型鍵盤側錄程式，威脅捕獵團隊將其命名為 "Tattletale"。該程式能夠模仿已登入系統的使用者，並蒐集與密碼政策、安全設定、快取密碼、瀏覽器資訊，以及儲存資料相關的資訊。Sophos X-Ops 在報告中也指出，與第一波行動相比，群組 Charlie 使用開源工具的比例愈來愈高，而非他們在首波活動中使用的自訂惡意軟體。

Sophos 威脅捕獵與威脅情報總監 Paul Jaramillo 表示，在行動初期，群組 Charlie 部署了各種自訂工具和惡意軟體。然而，我們成功『摧毀』了他們一開始的基礎架構，並阻斷指揮和控制 (C2) 工具，迫使他們改變作法，但他們隨即改用了開源工具，顯示這些攻擊團體具備快速適應能力以及持久性，而這似乎也成為中國國家級攻擊團體的新興趨勢。安全社群均致力於保護我們最敏感的系統免受這些攻擊者的侵害，因此分享有關這種轉變的觀察非常重要。

群組 Charlie 與中國威脅團體 Earth Longzhi 共用了戰術、技術和程序 (TTP)，其最初於 2023 年 3 月至 8 月間在東南亞一個高階的政府組織中活動。在沉寂數週後，該群組於 2023 年 9 月重新出現，並持續活躍到至少 2024 年5 月。在這次行動的第二階段，群組 Charlie 專注於更深入第滲透網路、躲避端點偵測與回應 (EDR) 工具，以及蒐集更多情報。除了改用開源工具外，群組 Charlie 也開始使用群組 Alpha 和群組 Bravo 最初部署的戰術，這表明有一個上層組織指揮著這三個活動群組。Sophos X-Ops 已追蹤到群組 Charlie 持續在東南亞多個其他組織進行活動。

群組 Bravo 與中國威脅團體 Unfading Sea Haze 亦共用了戰術、技術和程序 (TTP)，最初僅在 2023 年 3 月於目標網路中活躍了三週。然而，該群組於 2024 年 1 月重新出現，這次的目標則擴展至同一地區的至少 11 個其他組織和機構。