중국 레드골프 그룹은 KEYPLUG 백도어로 윈도우 및 리눅스 시스템을 타겟팅하고 있습니다.
레드골프는 중국 정부에서 지원하는 위협 활동 그룹으로, 사용자 정의 윈도우와 리눅스 백도어인 KEYPLUG과 연결되었습니다. 그들은 신규에 대한 취약점을 빠르게 무기화할 수 있는 능력을 갖추고 있으며, 사용자 정의 메일웨어 가족을 사용하는 것으로 알려져 있습니다. KEYPLUG은 2021-22년 미국 주 정부 공격과 2022년 스리랑카 정부 공격에서 발견되었으며, 이는 Winnti (야구 APT41)과 중복됩니다. GhostWolf 인프라는 C2s로 42개의 IP와 Cobalt Strike 및 PlugX과 같은 다른 도구를 포함하고 있으며, 그룹은 이를 정보 수집 목적으로 사용하고 있으며 금융적 이익을 얻기 위해 사용하지는 않습니다.
Chinese RedGolf Group Targeting Windows and Linux Systems with KEYPLUG Backdoor
RedGolf, a Chinese state-sponsored threat activity group, has been linked to a custom Windows and Linux backdoor called KEYPLUG. They have the capability to rapidly weaponize newly reported vulnerabilities and have been known to use a range of custom malware families. KEYPLUG has been detected in multiple US state government attacks in 2021-22 and Sri Lankan government attacks in 2022, which overlaps with Winnti (aka APT41). The GhostWolf infrastructure consists of 42 IPs as C2s and other tools like Cobalt Strike and PlugX are also used by the group for intelligence purposes, rather than financial gain.
https://thehackernews.com/2023/03/chinese-redgolf-group-targeting-windows.html