قال ريكورديد فيوتشر لصحيفة The Hacker News: "RedGolf عبارة عن مجموعة جهات تهديدات صينية غزيرة الإنتاج ترعاها الدولة ومن المحتمل أنها كانت نشطة لسنوات عديدة ضد مجموعة واسعة من الصناعات على مستوى العالم".

"أظهرت المجموعة القدرة على تسليح نقاط الضعف التي تم الإبلاغ عنها حديثًا بسرعة (مثل Log4Shell و ProxyLogon ) ولديها تاريخ في تطوير واستخدام مجموعة كبيرة من عائلات البرامج الضارة المخصصة."

تم الكشف عن استخدام KEYPLUG من قبل جهات التهديد الصينية لأول مرة من قبل شركة Manidant المملوكة لشركة Google في مارس 2022 في هجمات استهدفت عدة شبكات حكومية أمريكية بين مايو 2021 وفبراير 2022.

ثم في أكتوبر 2022 ، قامت Malwarebytes بتفصيل مجموعة منفصلة من الهجمات التي استهدفت الكيانات الحكومية في سريلانكا في أوائل أغسطس والتي استفادت من غرسة جديدة يطلق عليها DBoxAgent لنشر KEYPLUG.

نُسبت هاتان الحملتان إلى Winnti (المعروف أيضًا باسم APT41 أو Barium أو Bronze Atlas أو Wicked Panda) ، والتي قالت شركة Recorded Future إنها "تتداخل بشكل وثيق" مع RedGolf.

قال ريكورديد فيوتشر: "لم نلاحظ وجود ضحية محددة كجزء من نشاط RedGolf المميز الأخير". "ومع ذلك ، نعتقد أن هذا النشاط يتم إجراؤه على الأرجح لأغراض استخباراتية بدلاً من تحقيق مكاسب مالية بسبب التداخلات مع حملات التجسس الإلكتروني التي تم الإبلاغ عنها مسبقًا."

أشارت شركة الأمن السيبراني ، بالإضافة إلى اكتشاف مجموعة من عينات KEYPLUG والبنية التحتية التشغيلية (التي تحمل الاسم الرمزي GhostWolf) التي استخدمتها مجموعة القرصنة من 2021 إلى 2023 على الأقل ، إلى استخدامها لأدوات أخرى مثل Cobalt Strike و PlugX .

تتكون البنية التحتية لـ GhostWolf ، من جانبها ، من 42 عنوان IP تعمل كقيادة وتحكم KEYPLUG. وقد لوحظ أيضًا أن المجموعة العدائية تستخدم مزيجًا من كل من المجالات المسجلة تقليديًا ونطاقات DNS الديناميكية ، والتي غالبًا ما تتميز بموضوع تقني ، للعمل كنقاط اتصال لـ Cobalt Strike و PlugX.

وقالت الشركة: "ستستمر RedGolf في إظهار وتيرة تشغيلية عالية وتسليح نقاط الضعف بسرعة في أجهزة الشركات ذات الواجهة الخارجية (الشبكات الافتراضية الخاصة ، والجدران النارية ، وخوادم البريد ، وما إلى ذلك) للوصول الأولي إلى الشبكات المستهدفة".

"بالإضافة إلى ذلك ، من المرجح أن تستمر المجموعة في تبني عائلات جديدة للبرامج الضارة المخصصة لإضافتها إلى الأدوات الموجودة مثل KEYPLUG."

للدفاع ضد هجمات RedGolf ، يُنصح المؤسسات بتطبيق التصحيحات بانتظام ، ومراقبة الوصول إلى أجهزة الشبكة الخارجية ، وتعقب البنية التحتية للقيادة والتحكم وحظرها ، وتكوين أنظمة الكشف عن التسلل أو منعه لمراقبة اكتشاف البرامج الضارة.

تأتي هذه النتائج في الوقت الذي كشفت فيه شركة Trend Micro أنها اكتشفت أكثر من 200 ضحية لهجمات موستانج باندا (المعروفة أيضًا باسم Earth Preta) كجزء من جهد تجسس إلكتروني بعيد المدى نظمته مجموعات فرعية مختلفة منذ عام 2022.

تم اكتشاف غالبية الهجمات الإلكترونية في آسيا ، تليها إفريقيا وأوروبا والشرق الأوسط وأوقيانوسيا وأمريكا الشمالية وأمريكا الجنوبية.

وقالت تريند مايكرو: "هناك مؤشرات قوية على تشابك الأعمال التجارية الاستخباراتية التقليدية وجهود جمع المعلومات الإلكترونية ، مما يدل على وجود عملية تجسس إلكتروني شديدة التنسيق والمعقدة" .