在調查這些重新出現的活動時，Sophos X-Ops 發現了一種新型鍵盤側錄程式，威脅捕獵團隊將其命名為 Tattletale。該程式能夠模仿已登入系統的使用者，並蒐集與密碼政策、安全設定、快取密碼、瀏覽器資訊，以及儲存資料相關的資訊。Sophos X-Ops 在報告中也指出，與第一波行動相比，群組 Charlie 使用開源工具的比例愈來愈高，而非他們在首波活動中使用的自訂惡意軟體。

Sophos 威脅捕獵與威脅情報總監 Paul Jaramillo 表示：「我們與這些攻擊者之間的攻防一直像是對弈的競賽。在行動初期，群組 Charlie 部署了各種自訂工具和惡意軟體。然而，我們成功『摧毀』了他們一開始的基礎架構，並阻斷指揮和控制 (C2) 工具，迫使他們改變作法。這是好事。但他們隨即改用了開源工具，顯示這些攻擊團體具備快速適應能力以及持久性，而這似乎也成為中國國家級攻擊團體的新興趨勢。安全社群均致力於保護我們最敏感的系統免受這些攻擊者的侵害，因此分享有關這種轉變的觀察非常重要。」

群組 Charlie 與中國威脅團體 Earth Longzhi 共用了戰術、技術和程序 (TTP)，其最初於 2023 年 3 月至 8 月間在東南亞一個高階的政府組織中活動。在沉寂數週後，該群組於 2023 年 9 月重新出現，並持續活躍到至少 2024 年5 月。在這次行動的第二階段，群組 Charlie 專注於更深入第滲透網路、躲避端點偵測與回應 (EDR) 工具，以及蒐集更多情報。除了改用開源工具外，群組 Charlie 也開始使用群組 Alpha 和群組 Bravo 最初部署的戰術，這表明有一個上層組織指揮著這三個活動群組。Sophos X-Ops 已追蹤到群組 Charlie 持續在東南亞多個其他組織進行活動。

群組 Bravo 與中國威脅團體 Unfading Sea Haze 亦共用了戰術、技術和程序 (TTP)，最初僅在 2023 年 3 月於目標網路中活躍了三週。然而，該群組於 2024 年 1 月重新出現，這次的目標則擴展至同一地區的至少 11 個其他組織和機構。

Jaramillo 補充：「我們不僅看到『紅宮行動』中的三個群組持續精進和協調他們的戰術，甚至進一步擴展行動範圍，試圖滲透到東南亞其他目標。有鑑於中國國家級攻擊團體經常共用基礎架構和工具，以及群組 Bravo 和群組 Charlie 的對象已經超越原始目標，我們很可能會看到這場行動繼續演變，甚至出現在新的地點。我們將密切監控這一情況。」

如欲了解更多資訊，請閱讀 Sophos.com 上的《紅宮行動： 新工具、新戰術、新目標》。如需 Sophos 威脅捕獵及其他防止網路攻擊的服務資訊，請參閱 Sophos Managed Detection and Response (MDR)。

- 新聞稿有效日期，至2024/10/11為止

上一篇：陳老師獵利計畫、季底作帳行情、乘風破浪而來
下一篇：Palo Alto Networks 完成收購 IBM QRadar