メインコンテンツに移動
<-- Research Reports
RedHotel:世界規模で活動する多作な中国国営グループ

RedHotel:世界規模で活動する多作な中国国営グループ

PUBLISHED ON 08 AUG 2023

Insikt Group

レポートをダウンロード

insikt-group-logo-updated-3-300x48.png

Insikt Groupの新しい調査では、その執拗さ、活動の激しさ、世界的な広がりで際立っている、中国政府の支援する脅威活動グループRedHotelを取り上げています。RedHotelは、2021年から2023年にかけて、アジア、欧州、北米の17か国で活動しており、そのターゲットには、学術界、航空宇宙、政府、メディア、通信、研究の各分野が含まれます。特に東南アジアの政府や特定のセクターの 民間企業に焦点を当てたRedHotelのマルウェアのコマンド&コントロール、偵察、エクスプロイトのインフラストラクチャは、管理が中国の成都で行われていることを示しています。その手法は中国国家安全部(MSS)と関係のある他の請負業者グループと一致しており、成都のサイバー人材と活動が結びついていることを示しています。

RedHotelの多層C2インフラストラクチャネットワークの概略図

RedHotelの多層C2インフラストラクチャネットワークの概略図

少なくとも2019年以来、RedHotelは高い活動ペースを維持し、世界中の公共部門および民間部門の組織を標的にすることで中国政府が支援する広範なサイバースパイ活動の容赦ない範囲と規模を実証してきました。このグループには情報収集と経済スパイの二重の使命があり、従来のようなインテリジェンスや政府機関と、新型コロナウイルス感染症の研究・技術研究開発に関与する組織の両方を対象としています。特に、2022年に発生した米国の州議会に対する攻撃では、その影響範囲の拡大が浮き彫りになりました。観察された被害者組織の大半は、首相官邸、財務省、立法機関、内務省などの政府機関であり、このグループのスパイ活動の可能性が高いタスクと一致しています。しかし、2021年7月に報じられた台湾の工業技術研究院(ITRI)や新型コロナウイルス感染症の研究を狙ったインシデントなどのいくつかのケースでは、産業スパイや経済スパイが動機であった可能性が高いと考えられます。同グループが過去に中国市場向けのオンラインギャンブル業界を標的にしてきたことは、Insikt Groupが観察した中国を拠点とするサイバースパイアクター全体の広範な傾向とも一致しており、中国政府によるオンラインギャンブルのより広範な取り締まりを支援するための情報収集も目的としている可能性があります。

RedHotelの技術スタック

RedHotelはコマンド&コントロールサーバーを介した偵察と長期的なネットワークアクセスに重点を置いた多層インフラストラクチャを採用しています。その多層インフラストラクチャは、使用する複数のマルウェアファミリーに関連するC2トラフィックのリバースプロキシとして機能するよう設定された大量のプロビジョニング済み仮想プライベートサーバー(VPS)で構成されています。これらのリバースプロキシサーバーは通常、標準のHTTP(s)ポート(TCP 80、443、8080、8443など)でリッスンし、トラフィックを上流のアクターが制御するサーバーにリダイレクトするように設定されています。これらの上流サーバーは、オープンソースの仮想プライベートネットワーク(VPN)ソフトウェアSoftEtherを使用して脅威アクターによって直接管理されている可能性があります。

このグループは、攻撃的なセキュリティツール、共有機能、Cobalt Strike、Brute Ratel C4、Winnti、ShadowPad、FunnySwitch、Spyderバックドアなどの特注ツールを組み合わせて利用することがよくあります。2022年から2023年にかけて、Insikt GroupはRedHotelが使用している100を超えるC2 IPアドレスを追跡しましたが、AS-CHOOPA(Vultr)、G-Core Labs SA、Kaopu Cloud HK Limitedなどの特定のホスティングプロバイダーが特によく使用されていました。特定のホスティングプロバイダーに対する脅威アクターの選好は、コスト、信頼性、セットアップのしやすさ、データセンターの場所、政府や民間組織との協力や組織からの情報収集の度合い、ホスティングプロバイダーがサービスの悪用に対処するスピードと意欲などの要因の影響を受ける可能性があります。

Recorded FutureのInsikt Groupは中国国家が後援するさまざまなサイバー脅威を観察していますが、RedHotelはその幅広い範囲と活動の激しさで際立っています。RedHotelのキャンペーンには、盗まれたコード署名証明書の悪用やベトナム政府のインフラ乗っ取りなどのイノベーションが含まれています。一般公開されているにもかかわらず、RedHotelの大胆なアプローチは、その活動が今後も続くことを示唆しています。

防衛戦略

組織は、インターネットに接続された機器(特に企業のVPN、メールサーバー、ネットワークデバイス)の強化と脆弱性パッチの適用を優先し、これらのデバイスのログ記録と監視を行い、ネットワークセグメンテーションを実装して内部ネットワークへの露出と横方向の移動の可能性を制限することで、RedHotelの活動から身を守ることができます。

注:本レポートの概要は2023年8月8日に発表され、2024年10月29日に更新されました。当初の分析と調査結果に変更はありません。

文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

付録A — 侵害を示す指標

ドメイン:
dga[.]asia
kb.dga[.]asia
video.dga[.]asia
sc.dga[.]asia
dgti.dga[.]asia
nhqdc[.]com
msdn.microsoft.nhqdc[.]com
icoreemail[.]com
demo.icoreemail[.]com
officesuport[.]com
kiwi.officesuport[.]com
cdn.officesuport[.]com
test.officesuport[.]com
mail.officesuport[.]com
ntpc.officesuport[.]com
main.officesuport[.]com
excel.officesuport[.]com
remote.officesuport[.]com
ismtrsn[.]club
lrm.ismtrsn[.]club
tgoomh.ismtrsn[.]club
news.ismtrsn[.]club
icarln.ismtrsn[.]club
liveonlin[.]com
npgsql.liveonlin[.]com
public.liveonlin[.]com
tech.liveonlin[.]com
main.liveonlin[.]com
cctv.liveonlin[.]com
alexa-api[.]com
www.alexa-api\[.]com\ ngndc[.]com
air.ngndc[.]com
spa.ngndc[.]com
mkn.ngndc[.]com
ekaldhfl[.]club
ts.ekaldhfl[.]club
ist.ekaldhfl[.]club
downloads.ekaldhfl[.]club
pps.ekaldhfl[.]club
plt.ekaldhfl[.]club
tlt.ekaldhfl[.]club
thy.ekaldhfl[.]club
us.ekaldhfl[.]club
asia-cdn[.]asia
report.asia-cdn[.]asia
freehighways[.]com
map.freehighways[.]com
iredemail[.]com
index.iredemail[.]com
demo.iredemail[.]com
open.iredemail[.]com
api.iredemail[.]com
full.iredemail[.]com
bbs.iredemail[.]com
0nenote[.]com
keep.0nenote[.]com
asia-cdn[.]asia
api.asia-cdn[.]asia
speedtest.asia-cdn[.]asia
cyberoams[.]com
checkip.cyberoams[.]com
ekaldhfl[.]club
pps.ekaldhfl[.]club
usa.ekaldhfl[.]club
mtlklabs[.]co
conhostsadas[.]website
itcom666[.]live
qbxlwr4nkq[.]itcom666[.]live
8kmobvy5o[.]itcom666[.]live
itcom888[.]live
bwlgrafana[.]itcom888[.]live
itsm-uat-app[.]itcom888[.]live
dkxvb0mf[.]itcom888[.]live
nvw3tdetwx[.]itcom888[.]live
0j10u9wi[.]itcom888[.]live
yt-sslvpn[.]itcom888[.]live
vappvcsa[.]itcom888[.]live
94ceaugp[.]itcom888[.]live
sibersystems[.]xyz
fyalluw0[.]sibersystems[.]xyz
sijqlfnbes.sibersystems[.]xyz
jmz8xhxen3.sibersystems[.]xyz
2h3cvvhgtf.sibersystems[.]xyz
3tgdtyfpt9.sibersystems[.]xyz
n71qtqemam.sibersystems[.]xyz
711zm77cwq.sibersystems[.]xyz
R77wu4s847.sibersystems[.]xyz
caamanitoba[.]us
jw7uvtodx4.caamanitoba[.]us
xdryqrbe.caamanitoba[.]us
b1k10pk9.caamanitoba[.]us
6hi6m62bzp.caamanitoba[.]us
livehost[.]live
sci.livehost[.]live

C2 IP Addresses (seen May to June 2023)
1.13.82[.]101
5.188.33[.]188
5.188.33[.]254
5.188.34[.]164
5.188.34[.]173
38.54.16[.]131
38.54.16[.]179
38.60.199[.]87
38.60.199[.]208
45.76.186[.]26
45.77.153[.]197
61.238.103[.]165
64.227.132[.]226
92.38.169[.]222
92.38.176[.]128
92.38.178[.]40
92.38.178[.]60
92.223.90[.]133
95.85.91[.]50
103.140.239[.]41
103.157.142[.]95
108.61.158[.]179
139.180.193[.]182
140.82.7[.]72
141.164.63[.]244
154.212.129[.]132
156.236.114[.]202

TLS Certificate (SHA256 Fingerprints):
f8cd64625f8964239dad1b2ce7372d7a293196455db7c6b5467f7770fd664a61
294fb8f21034475198c3320d01513cc9917629c6fd090af76ea0ff8911e0caa3
9c8e5f6e5e843767f0969770478e3ad449f8a412dad246a17ea69694233884b9
29ed44228ed4a9883194f7e910b2aac8e433ba3edd89596353995ba9b9107093
b02aed9a615b6dff2d48b1dd5d15d898d537033b2f6a5e9737d27b0e0817b30e

Cobalt Strike Loaders
5cba27d29c89caf0c8a8d28b42a8f977f86c92c803d1e2c7386d60c0d8641285
48e81b1c5cc0005cc58b99cefe1b6087c841e952bb06db5a5a6441e92e40bed6
25da610be6acecfd71bbe3a4e88c09f31ad07bdd252eb30feeef9debd9667c51
233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91
aeceaa7a806468766923a00e8c4eb48349f10d069464b53674eeb150e0a59123

Brute Ratel Loaders
6e3c3045bb9d0db4817ad0441ee3c95b8fe3e087388d1ceefb9ebbd2608aef16
6f31a4656afb8d9245b5b2f5a634ddfbdb9db3ca565d2c52aee68554ede068d1
c00991cfeafc055447d7553a14be2303e105b6a97ab35ecf820b9dbd42826f9d

Winnti
5861584bb7fa46373c1b1f83b1e066a3d82e9c10ce87539ee1633ef0f567e743
69ff2f88c1f9007b80d591e9655cc61eaa4709ccd8b3aa6ec15e3aa46b9098bd
2f1321c6cf0bc3cf955e86692bfc4ba836f5580c8b1469ce35aa250c97f0076e
f1dcf623a8f8f4b26fe54fb17c8597d6cc3f7066789daf47a5f1179bd7f7001a

Spyder
7a61708f391a667c8bb91fcfd7392a328986059563d972960f8237a69e375d50
5d3a6f5bd0a72ee653c6bdad68275df730b836d6f9325ee57ec7d32997d5dcef
1ded9878f8680e1d91354cbb5ad8a6960efd6ddca2da157eb4c1ef0f0430fd5f
e053ca5888fb0d5099efed76e68a1af0020aaaa34ca610e7a1ac0ae9ffe36f6e
24d4089f74672bc00c897a74664287fe14d63a9b78a8fe2bdbbf9b870b40d85c

FunnySwitch
7056e9b69cc2fbc79ba7a492906bcc84dabc6ea95383dff3844dfde5278d9c7a
ede0c1f0d6c3d982f63abbdd5f10648948a44e5fa0d948a89244a06abaf2ecfe
9eb0124d822d6b0fab6572b2a4445546e8029ad6bd490725015d49755b5845a4

付録B — MITRE ATT&CK手法

戦術:手法

ATT&CKコード

オブザーバブル

偵察: アクティブスキャン:脆弱性スキャン

T1595.002

RedHotelは、Acunetixなどの脆弱性スキャンツールを使用して、外部向けアプライアンスの脆弱性をスキャンしています

リソース開発: インフラストラクチャの取得:ドメイン

T1583.001

RedHotelは、主にNamecheapを介してドメインを購入しました。

リソース開発: インフラストラクチャの取得:仮想プライベートサーバー

T1583.003

RedHotelは、プロバイダーのChoopa(Vultr)、G-Core、およびKaopu Cloud HK Limitedを優先して、アクター制御のVPSをプロビジョニングしました。

リソース開発: 侵害インフラストラクチャ:サーバー

T1584.004

RedHotelは、侵害されたGlassFishサーバーをCobalt Strike C2として使用し、ターゲットネットワークをスキャンしています。

初期アクセス: 公開アプリケーションの悪用

T1190

RedHotelは、Zimbra Collaboration Suite(CVE-2022-24682、CVE-2022-27924、CVE-2022-27925とCVE-2022-37042、CVE-2022-30333と連鎖)、Microsoft Exchange(ProxyShell)、Apache Log4Jの Log4Shell の脆弱性など、公開アプリケーションを悪用して初期アクセスを行っています。

初期アクセス: スピアフィッシング:スピアフィッシングの添付ファイル

T1566.001

RedHotelは、リモートでホストされているスクリプト(HTA、VBScript)をフェッチするショートカット(LNK)ファイルを含むアーカイブスピアフィッシング添付ファイルを使用しています。 これらのスクリプトは、DLLの検索順序ハイジャックの感染チェーンをトリガーし、ユーザーにおとり文書を表示するために使用されます。

固執: サーバーソフトウェアコンポーネント: Web シェル

T1505.003

RedHotelは、被害者の環境内でWebシェルを使用し、侵害されたGlassFishサーバーと対話しています

永続性:: スケジュールされたタスク/ジョブ: スケジュールされたタスク

T1053.005

RedHotelは、グループのSpyderバックドアの永続化にスケジュールされたタスクを使用しています。

C:\Windows\System32\schtasks.exe /RUN /TN PrintWorkflow_10e3b

固執: ブートまたはログオンの自動起動実行: レジストリ実行キー / スタートアップ フォルダー

T1547.001

ScatterBee ShadowPadローダーは、Runレジストリキーを介して保持され、暗号化されたShadowPadペイロードをレジストリに保存します。

防御回避: 難読化されたファイルまたは情報

T1027

RedHotelは、ScatterBeeツールを使用してShadowPadペイロードを難読化しました。 また、このグループは、暗号化またはエンコードされたペイロードを bin.configという名前のファイルに繰り返し保存しています。

防御回避: ファイルまたは情報の難読化/デコード

T1140

防御回避: 信頼制御の破壊: コード署名

T1553.002

RedHotelは、盗まれたコード署名証明書(参照されているWANIN International証明書など)を使用して悪意のあるバイナリに署名しています。

防御回避:ハイジャック実行フロー:DLL検索順序ハイジャック

T1574.001

RedHotelは、 vfhost.exeを含む複数の正規の実行可能ファイルをDLL検索順序のハイジャックに悪用しました。 mcods.exe, と BDReinit.exe

防御回避:マスカレード:正当な名前または場所を照合します

T1036.005

RedHotelは、DLL検索順序ハイジャックと並行して正当なファイル名を使用して、悪意のあるDLLをロードしています。

コマンド&コントロール: プロキシ:外部プロキシ

T1090.002

RedHotelはVPS C2を使用して、攻撃者が制御するサーバーにトラフィックをアップストリームでプロキシしています。

コマンド&コントロール:アプリケーション層プロトコル:Webプロトコル

T1071.001

このレポートで参照されているRedHotelBruteRatelおよびCobaltStrikeのサンプルは、HTTPSを介して通信します。

流出: C2 チャネルを介した流出

T1041

RedHotelは、マルウェアのC2チャネルを介してデータを盗み出しました。

関連

17 Dec 2025

BlueDelta’s Persistent Campaign Against UKR.NET

Discover how Russia’s BlueDelta targets UKR.NET users with advanced credential-harvesting campaigns, evolving tradecraft, and multi-stage phishing techniques.

research

2025年12月11日

Palestine Action: Operations and Global Network

Explores Palestine Action’s post-designation global network, tactics, and targets, and evaluates key physical risks and mitigations for organizations.

research

2025年12月10日

ロシア・インド・中国の三国間協力の影響

ロシア・インド・中国の三国間協力、アメリカの関税と制裁、正式なブロックが形成される可能性が低い理由、そして政府と企業への影響について検証します。

research

このウェブサイトは、お使いのコンピューターにCookieを保存します。これらのCookieは、ウェブサイトのエクスペリエンスを向上させ、よりパーソナライズされたサービスを提供するために使用されます。当社が使用するCookieの詳細については、プライバシーポリシーをご覧ください。

許可する