Proofpoint e PwC Threat Intelligence hanno identificato insieme una campagna di spionaggio informatico, attiva da aprile a giugno del 2022, che fornisce il framework di sfruttamento ScanBox agli obiettivi che visitano un dominio pericoloso e mascherato da sito web di notizie australiano. Gli sforzi congiunti dai ricercatori di Proofpoint e PwC forniscono una valutazione di moderata fiducia sul fatto che le recenti campagne che hanno preso di mira governi e settore energetico e manifatturiero a livello globale, possano essere associate a TA423/Red Ladon. Le attività che si sovrappongono a questo attore di minacce sono state rese note pubblicamente, nelle incriminazioni governative come “APT40” e “Leviathan”. Sono state dunque analizzate la struttura e le capacità dello ScanBox e dei plugin identificati, per poi mettereli in relazione alle precedenti campagne condotte da TA423/Red Ladon che hanno sfruttato l’utilizzo di modelli RTF.
TA423/Red Ladon è un attore di minacce con sede in Cina, attivo dal 2013 e specializzato nello spionaggio informatico, che ha preso di mira una serie di organizzazioni a seguito di determinati eventi politici della regione Asia-Pacifico, con particolare attenzione al Mar Cinese Meridionale. Tra le aziende colpite figurano enti di difesa, aziende manifatturiere, università, agenzie governative, studi legali coinvolti in controversie diplomatiche e aziende straniere coinvolte nella politica australasiatica o nelle operazioni nel Mar Cinese Meridionale.
“TA423 è uno degli attori APT più costantemente presenti nel panorama delle minacce, che mostra un forte supporto al governo cinese nelle questioni relative al Mar Cinese Meridionale, come le recenti tensioni a Taiwan. Tra gli obiettivi di questo gruppo c’è la visibilità sulle realtà attive nella regione ed è probabile che la loro attenzione alle questioni navali rimanga una priorità in luoghi come Malesia, Singapore, Taiwan e Australia, anche se non possiamo affermarlo con certezza”, spiega Sherrod DeGrippo, Senior Vice President, Threat Research and Detection di Proofpoint.