Grupo RedGolf

Publicado hace 10 horas 25-04-2025

El 23 de marzo de 2023, la firma estadounidense de ciberseguridad Recorded Future alertó sobre la continua actividad del grupo de hackers chinos conocido como RedGolf, presuntamente respaldado por el Estado. Según el informe, este grupo mantiene operaciones activas y apunta a una amplia gama de objetivos estratégicos, probablemente en beneficio del gobierno y los servicios de inteligencia chinos. 

RedGolf estaría vinculado a otros grupos conocidos como APT41 y BARIUM, lo que sugiere una conexión estrecha o identidad compartida entre ellos.

Picture 1891718556, Picture
La infraestructura de RedGolf y sus TTP (Tácticas, Técnicas y Procedimientos) se superponen con APT41 y BARIUM. (Fuente: Recorded Future) 

Insikt Group ha identificado una infraestructura de dominios utilizada presuntamente por RedGolf en múltiples campañas a lo largo de los últimos dos años. De acuerdo con sus hallazgos, la naturaleza de los objetivos y el patrón de ataques indican una motivación centrada en la obtención de inteligencia, en lugar de fines económicos. 

En respuesta a las acusaciones, el Ministerio de Asuntos Exteriores de China negó rotundamente cualquier implicación, calificando las afirmaciones como infundadas, exageradas y carentes de rigor profesional.

Se detectó que el grupo emplea herramientas como CobaltStrike para la creación de servidores C2 (Command & Control), así como también un malware llamado Keyplug. Dicho malware es utilizado para crear puertas traseras en sistemas Windows y Linux. 

Más recientemente, en el mes de abril, este grupo sufrió una filtración accidental al dejar expuesto un servidor alojado en Vultr durante aproximadamente 24 horas. Esta filtración reveló el conjunto de herramientas que utilizan. Al hacer una revisión de los scripts, se encontró que no es código genérico que pueda encontrarse a través de la dark web, sino más bien, parece ser código escrito por el propio grupo, dejando en claro la seriedad de este y su capacidad para desarrollar sus propias herramientas.
 

Dentro de los scripts encontrados tenían funciones de:

Script de reconocimiento:

Este tiene como función analizar el dispositivo Fortinet atacado en busca de la versión del SO (sistema operativo), con la finalidad de poder encontrar y explotar vulnerabilidades específicas de la versión con la que se cuente. 

Script de automatización:

Este script tiene como objetivo automatizar la explotación de dos vulnerabilidades, específicamente la CVE-2024-23108 y la CVE-2024-23109. Ambas vulnerabilidades recaen en FortiSIEM y, de ser explotadas correctamente, pueden llevar a una inyección de código en el sistema operativo. Estas vulnerabilidades tienen un score de 9.8, lo que las vuelve de carácter crítico. 

Shells inversos:

Estos shells estaban construidos en PowerShell y Linux. Se usaban para mantener acceso a largo plazo y manejaban comunicaciones cifradas.

Indicadores de Compromiso:

IOC 

TIPO 

e024ccc4c72eb 5813cc2b6db79 75e4750337a1c c619d7339b21f dbb32d93fd85 

SHA-256 

39c8a31dee110 93810c7b142b4 fe8770e8c8d1b 3c09749a2888e cc32d24f4d09 

SHA-256 

006e096f82e9f 2bb3bb3f4fd48 85a81b426b425 b2b7a7bfd90b4 b65d44ab5e7e 

SHA-256 

9a94070f547f8 e517bcf4dabfd 36a7f2b83bb9e 0eae6e4685cc2 33b07b0a2897 

SHA-256 

2345c426c584e c12f7a2106a52 ce8ac4aeb1444 76d1a4e4b78c1 0addfddef920 

SHA-256 

f4474dcbfaf85 70fa4bcdd4151 d53516664ef5c b7f21f3b4520f 791626fdc441 

SHA-256 

a1398dd8cec06 c07a33b94e9d5 9d38313efcce9 27cc27425ade4 8dba48c3345f 

SHA-256 

a6ead353dd733 8b7ae51825528 9993f7cca70bd eceaf31004ec0 b8a1036378d3 

SHA-256 

5921d1686f9f4 b6d26ac353cfc e3e85e5790631 1a80806903c9b 40f85429b225 

SHA-256 

83ef976a3c3ca 9fcd438eabc9b 935ca5d46a3fb 00e2276ce4061 908339de43ec 

SHA-256 

4ffc7f65e16ce 59ff9e6a504f8 8e0cf56b225c0 eb2cf8ec578b3 e9d40d9bd898 

SHA-256 

139.59.116.0 

IP 

45.77.38.191 

IP 

116.204.211.59 

IP 

116.204.211.68 

IP 

45.76.178.177 

IP 

27.124.37.65 

IP 

27.124.37.63 

IP 

27.124.37.62 

IP 

193.239.154.221 

IP 

7a81ee7251670cebb1746c88fe84aa78ecededd3ec063f156714a900af5de08d 

SHA-256 

99b36963f0e93a5c59cbd205d102f6b850f02f5e74ac4f66257b6f38d9c9ef5a 

SHA-256 

d4eced054766f6253f7d0772d4636be88ea7e75e07ca4ce86b65312c808fb96a 

SHA-256 

59b13045104462b40b1bcd6776f2b9e0b0df126dfa4e33768b54796e23591b87 

SHA-256 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multi-factor. 

Referencias

  1. DAILY CYBERSECURITY. (2025. abril 21) APT41/RedGolf Infrastructure Briefly Exposed: Fortinet Zero-Days Targeted Shiseido. Recuperado el 24 de abril del 2025 en: https://securityonline.info/apt41-redgolf-infrastructure-briefly-exposed-fortinet-zero-days-targeted-shiseido/ 

  2. NOTICIAS DE UNDERCODE. (2025, abril 21) US indicts 8Base ransomware operators for Phobos encryption attacks. Recuperado el 24 de abril del 2025 en: https://undercodenews.com/inside-the-redgolf-threat-group-a-rare-peek-into-keyplug-malware-infrastructure/ 

  3. RECORDED FUTURE (2023, marzo 30) With KEYPLUG, China’s RedGolf Spies On, Steals From Wide Field of Targets. Recuperado el 24 de abril del 2025 en: https://go.recordedfuture.com/hubfs/reports/cta-2023-0330.pdf 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Grupo RedGolf
Publicado hace 10 horas 25-04-2025

El 23 de marzo de 2023, la firma estadounidense de ciberseguridad Recorded Future alertó sobre la continua actividad del grupo de hackers chinos conocido como RedGolf, presuntamente respaldado por el Estado. Según el informe, este grupo mantiene operaciones activas......

Vulnerabilidad Critica en FortiSwitch
Publicado hace 3 días 22-04-2025

Una nueva vulnerabilidad ha sido descubierta por el equipo interno de Fortinet. Esta vulnerabilidad cuenta con un score CVSS de 9.3, siendo clasificada como de carácter crítico. La vulnerabilidad fue ligada al identificador CVE-2024-48887. Esta CVE afecta a diver......

Ransomware NightSpire
Publicado hace 1 semana 16-04-2025

Con la creciente efectividad de los grupos de ransomware día con día, nuevos grupos se forman para aprovechar esta modalidad, la cual resulta muy lucrativa para los actores maliciosos. También se ha visto que se crean variantes de operaciones más grand......

BOLETINES RECIENTES

...
Grupo RedGolf
Publicado hace 10 horas 25-04-2025
Leer más
...
Vulnerabilidad Critica en FortiSwitch
Publicado hace 3 días 22-04-2025
Leer más
...
Ransomware NightSpire
Publicado hace 1 semana 16-04-2025
Leer más