# RedDelta Modified PlugX Infection Chain Operations ## Descrição A RedDelta Modified PlugX Infection Chain Operations foi executada pelo [[g0129-mustang-panda|Mustang Panda]] (também rastreado como RedDelta e TA416) entre meados de 2023 e o final de 2024, visando entidades governamentais, diplomáticas e políticas no Leste e Sudeste Asiático. Documentada pela Recorded Future (Insikt Group) em janeiro de 2025, a campanha representou uma evolução significativa na cadeia de infecção do grupo: ao invés da cadeia tradicional de DLL sideloading com um único estágio, o Mustang Panda passou a utilizar uma cadeia multi-estágio mais complexa para evadir detecção e aumentar a persistência. A campanha utilizou spearphishing ([[t1566-001-spearphishing-attachment|T1566.001]] e [[t1566-002-spearphishing-link|T1566.002]]) para entregar arquivos maliciosos ou links a instaladores que implantavam o [[s0013-plugx|PlugX]] com DLL sideloading ([[t1574-001-dll|T1574.001]]). O uso de execution guardrails ([[t1480-execution-guardrails|T1480]]) - verificações de sistema antes da execução do payload - indica foco em alvos específicos e não em distribuição em massa. Certificados de assinatura de código ([[t1553-002-code-signing|T1553.002]]) conferiam aparência legítima aos instaladores. A infraestrutura de proxy multicamada ([[t1090-proxy|T1090]]) e protocolos não-aplicação ([[t1095-non-application-layer-protocol|T1095]]) dificultavam análise e atribuição de tráfego C2. Os alvos incluíram entidades em Mongólia, Jápão, Malásia, Tailândia, Mianmar e Europa - consistente com o interesse geopolítico da China na região Indo-Pacífico e em países europeus com interesse em políticas asiáticas. ## Impacto A campanha comprometeu entidades governamentais e diplomáticas em múltiplos países asiáticos e europeus, com implantação persistente do [[s0013-plugx|PlugX]] em sistemas de alto valor. O objetivo de coleta de inteligência diplomática e política é consistente com o mandato histórico do [[g0129-mustang-panda|Mustang Panda]] de espionagem em apoio a objetivos de política externa da China. ## Relevância LATAM/Brasil O [[g0129-mustang-panda|Mustang Panda]] tem histórico de expansão gradual de alvos. O Brasil, como principal parceiro comercial e diplomático da China na América Latina, é um alvo de interesse crescente para coleta de inteligência sobre posições políticas e negociações. Entidades diplomáticas brasileiras que lidam com relações com a Ásia e organizações com vínculos políticos a países asiáticos devem considerar o PlugX como ameaça relevante e verificar indicadores de comprometimento históricos. ## Atores Envolvidos - [[g0129-mustang-panda|Mustang Panda]] ## Técnicas Utilizadas - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1090-proxy|T1090 - Proxy]] - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] ## Software Utilizado - [[s0596-shadowpad|ShadowPad]] - [[s0013-plugx|PlugX]] --- --- *Fonte: [MITRE ATT&CK - C0047](https://attack.mitre.org/campaigns/C0047)* *Fonte: Recorded Future Insikt Group - "RedDelta Targets Southeast Asia and Taiwan with Modified PlugX" (Janeiro 2025)*