中國駭客RedDelta鎖定臺灣、蒙古、東南亞散布惡意程式PlugX

隨著臺海局勢變化，中國駭客對臺進行網路攻擊的情況日趨頻繁，有資安業者公布他們近兩年的追蹤結果，指出中國駭客隨政府的外交政策，將目標轉向了臺灣和蒙古。

資安業者Recorded Future指出，被稱為RedDelta、Earth Preta、Mustang Panda、TA416的中國駭客組織，從2023年7月至2024年12月，鎖定臺灣、蒙古、緬甸、越南、柬埔寨下手，散布特製的PlugX後門程式。

這些駭客運用的誘餌涉及各種時事，例如2023年底曾宣布參選總統的鴻海創辦人郭台銘、越南的國定假日、蒙古洪水防治，以及東南亞國家協會（ASEAN）的會議邀請等。研究人員指出，蒙古國防部、越南共產黨疑似分別於去年8月、11月遭駭。

值得留意的是，從去年9月到12月，駭客擴大攻擊範圍，鎖定馬來西亞、日本、美國、衣索比亞、巴西、澳洲、印度。根據此次調查結果，研究人員認為RedDelta近兩年的攻擊目標有了重大調整，因為2022年這群駭客主要鎖定歐洲從事相關攻擊。他們認為，攻擊目標的轉移與中國政府的戰略變化有關。

駭客攻擊行動的手段，也在歷經一年多的過程當中出現變化。從2023年下半，駭客疑似以釣魚手段散布Windows捷徑檔（LNK）做為觸發感染鏈的第一階段；到了2024年，駭客改用微軟管理主控臺組態檔案（MSC）進行；到了近期，這些歹徒則是利用釣魚連結來引誘使用者上當，從Azure下載HTML檔案來進行後續攻擊。為了隱匿攻擊流量，RedDelta濫用Cloudflare的CDN服務充當代理伺服器，來進行C2通訊。