RedJuliett: depredadores digitales de Fuzhou rompen las defensas taiwanesas

Entre noviembre de 2023 y abril de 2024, los investigadores de seguridad de Insikt Group detectaron una campaña de ciberespionaje dirigida a organizaciones gubernamentales, académicas, tecnológicas y diplomáticas de Taiwán. Según los expertos, detrás de estos ataques está el grupo cibernético RedJuliett, presuntamente vinculado a China y operando desde la ciudad de Fuzhou. Este grupo también es conocido como Flax Typhoon y Ethereal Panda.

Además de Taiwán, RedJuliett ataca a organizaciones en Yibuti, Hong Kong, Kenia, Laos, Malasia, Filipinas, Ruanda, Corea del Sur y Estados Unidos. En total, se observó interacción con la infraestructura de este grupo en 24 organizaciones, incluyendo instituciones gubernamentales de Taiwán, Laos, Kenia y Ruanda. Alrededor de 75 organizaciones taiwanesas fueron objeto de una inteligencia más amplia y posterior explotación.

Para llevar a cabo los ataques, RedJuliett utiliza dispositivos con acceso a Internet, como firewalls, balanceadores de carga y productos VPN, para el acceso inicial. El grupo también emplea inyecciones SQL y vulnerabilidades de traversal de directorios contra aplicaciones web y SQL.

Además, como informaron previamente CrowdStrike y Microsoft, los hackers utilizan el software SoftEther para tunelizar el tráfico malicioso desde las redes de las víctimas y técnicas LotL para el enmascaramiento. El grupo ha estado activo desde mediados de 2021.

Los expertos también señalaron que RedJuliett utiliza SoftEther para gestionar la infraestructura operativa, que incluye servidores alquilados a proveedores de VPS e infraestructura comprometida de tres universidades taiwanesas. Tras un acceso inicial exitoso, el grupo utiliza el web shell China Chopper para mantener su presencia, así como otros web shells de código abierto como devilzShell, AntSword y Godzilla. En algunos casos, se utilizó una vulnerabilidad de elevación de privilegios en Linux llamada Dirty Cow (CVE-2016-5195).

RedJuliett probablemente esté interesado en recopilar información sobre la política económica de Taiwán, así como sus relaciones comerciales y diplomáticas con otros países. Al igual que muchos otros grupos cibernéticos chinos, RedJuliett ataca dispositivos vulnerables con acceso a Internet, ya que tienen una visibilidad limitada y soluciones de seguridad débiles, lo que los hace eficaces para el acceso inicial.

El Ministerio de Asuntos Exteriores de China rechazó las acusaciones, calificándolas de «desinformación fabricada». Sin embargo, los expertos en ciberseguridad continúan registrando la actividad de RedJuliett y grupos similares. La comunidad internacional expresa una creciente preocupación por la escala y sofisticación de las campañas de ciberespionaje, pidiendo un fortalecimiento de la cooperación global en el ámbito de la seguridad digital.