随著台海局势变化,中国骇客对台进行网路攻击的情况日趋频繁,有资安业者公布他们近两年的追踪结果,指出中国骇客随政府的外交政策,将目标转向了台湾和蒙古。
,从2023年7月至2024年12月,锁定台湾、蒙古、缅甸、越南、柬埔寨下手,散布特制的PlugX后门程式。
这些骇客运用的诱饵涉及各种时事,例如2023年底曾宣布参选总统的鸿海创办人郭台铭、越南的国定假日、蒙古洪水防治,以及东南亚国家协会(ASEAN)的会议邀请等。研究人员指出,蒙古国防部、越南共产党先后于疑似于去年8月、11月遭骇。
值得留意的是,从去年9月到12月,骇客扩大攻击范围,锁定马来西亚、日本、美国、衣索比亚、巴西、澳洲、印度。
这波攻击行动的手段,也在一年多的过程里出现变化。从2023年下半,骇客疑似以钓鱼手段散布Windows捷径档(LNK)做为触发感染链的第一阶段;到了2024年,骇客改用微软管理主控台组态档案(MSC)进行;到了近期,这些歹徒则是利用钓鱼连结来引诱使用者上当,从Azure下载HTML档案来进行后续攻击。
为了隐匿攻击流量,RedDelta滥用Cloudflare的CDN服务充当代理伺服器,来进行C2通讯。
针对这样的调查结果,研究人员认为这代表RedDelta近两年的攻击目标出现重大调整,因为这些骇客在2022年主要锁定欧洲从事相关攻击。他们认为,这项转变源于中国政府的战略变化。