RedJuliett, známá také jako Flax Typhoon, operuje z Fuzhou v Číně a pravděpodobně provádí své útoky s cílem získat citlivé informace o tchajwanské vládě, obchodních aktivitách a technologických inovacích. Fuzhou spadá pod velitelství východního divadla v Čínské lidové osvobozenecké armádě, které je známé svým zaměřením na Tchaj-wan.

Podle Insikt Group hackeři využívají software SoftEther VPN a zneužívají známé zranitelnosti v sítích VPN, firewallech a nástrojích pro vyrovnávání zatížení. Tyto techniky jim umožňují získat přístup k různým univerzitám, společnostem a vládním institucím. Mezi další metody používané skupinou patří vkládání strukturovaného dotazovacího jazyka (SQL) a exploity pro procházení adresářů (HTTP exploity).

Zdroj: Shutterstock

Jakmile RedJuliett získá přístup k napadenému serveru, používají webový shell „China Chopper“, což jim umožňuje vzdálené spuštění kódu. Skupina rovněž využívá open-source nástroje jako JuicyPotato a BadPotato pro zvýšení svých přístupových práv.

Zpráva také uvádí, že RedJuliett nezaměřuje své útoky pouze na Tchaj-wan. Skupina je spojována s kyberútoky na různé americké organizace a země v Asii, včetně Jižní Koreje, a několika zemí v Africe, jako jsou Keňa a Rwanda. Během šesti měsíců se RedJuliett podařilo kompromitovat dvě desítky organizací po celém světě, včetně vládních subjektů na Tchaj-wanu, v Laosu, Keni a Rwandě.

Microsoft zdokumentoval existenci Flax Typhoon v srpnu 2023 a poznamenal, že skupina se zaměřuje na útoky na organizace na Tchaj-wanu. Čínské hackerské skupiny se však v širším měřítku zaměřují i na americké vládní agentury a technologické firmy jako Fortinet a samotný Microsoft.

Vyšetřování Insikt Group neodhalilo, zda existuje přímé spojení mezi Flax Typhoon a jinou čínskou hackerskou skupinou nazvanou Volt Typhoon, která rovněž využívá techniky „žití ze země“ pro své útoky. Nebylo rovněž specifikováno, které konkrétní společnosti, vládní agentury nebo univerzity byly kompromitovány.

Insikt Group pozorovala, že RedJuliett se zaměřuje zejména na technologický průmysl na Tchaj-wanu, včetně organizací v klíčových technologických oblastech. Skupina prováděla skenování zranitelnosti nebo se pokusila o zneužití tchajwanských polovodičových společností a dvou leteckých společností, které mají smlouvy s tchajwanskou armádou.

Tchaj-wan, který je domovem významných technologických firem, jako je Taiwan Semiconductor Manufacturing Corp. (TSMC), jednoho z největších výrobců čipů na světě, a dalších technologických společností jako Quanta a Framework, se stal hlavním cílem těchto útoků. Bloomberg nedávno oznámil, že TSMC a další technologická firma vyrábějící čipy na Tchaj-wanu, ASML, by mohly ukončit svou výrobu, pokud by došlo k čínské invazi na Tchaj-wan.

Aktivity skupiny RedJuliett představují významnou hrozbu pro technologickou a národní bezpečnost Tchaj-wanu a dalších postižených zemí. Vlády a organizace musí nadále zvyšovat svou kybernetickou obranu, aby čelily těmto sofistikovaným útokům.