Sebuah organisasi pemerintah yang tidak disebutkan namanya di Asia Tenggara muncul sebagai target operasi spionase siber yang “kompleks dan sudah berjalan lama” yang disponsori negara Tiongkok dengan nama sandi Crimson Palace.

“Tujuan keseluruhan di balik kampanye ini adalah untuk mempertahankan akses ke jaringan target spionase siber untuk mendukung kepentingan negara Tiongkok,” kata peneliti Sophos Paul Jaramillo, Morgan Demboski, Sean Gallagher, dan Mark Parsons dalam laporan yang dibagikan kepada situs The Hacker News.

“Ini termasuk mengakses sistem TI yang penting, melakukan pengintaian terhadap pengguna tertentu, mengumpulkan informasi militer dan teknis yang sensitif, dan menyebarkan berbagai implan malware untuk komunikasi komando dan kontrol (C2).”

Nama organisasi pemerintah itu tidak diungkapkan, tetapi perusahaan itu mengatakan bahwa negara itu diketahui telah berulang kali berkonflik dengan Tiongkok atas wilayah di Laut Cina Selatan, sehingga meningkatkan kemungkinan bahwa negara itu adalah Filipina, yang telah menjadi sasaran kelompok-kelompok yang disponsori negara Tiongkok seperti Mustang Panda di masa lalu.

Crimson Palace terdiri dari tiga klaster intrusi, beberapa di antaranya memiliki taktik yang sama, meskipun ada bukti aktivitas yang lebih tua yang berasal dari Maret 2022 –

1. Cluster Alpha (Maret 2023 – Agustus 2023), yang menunjukkan beberapa tingkat kemiripan dengan aktor yang dilacak sebagai BackdoorDiplomacy, REF5961, Worok, dan TA428
2. Cluster Bravo (Maret 2023), yang memiliki kesamaan dengan Unfading Sea Haze, dan
3. Cluster Charlie (Maret 2023 – April 2024), yang memiliki tumpang tindih dengan Earth Longzhi, sebuah subkelompok di dalam APT41

Sophos menilai bahwa klaster aktivitas yang tumpang tindih ini kemungkinan besar merupakan bagian dari kampanye terkoordinasi yang diatur di bawah arahan satu organisasi.

Serangan ini terkenal karena penggunaan malware yang tidak terdokumentasi seperti PocoProxy serta versi terbaru dari EAGERBEE, di samping keluarga malware lain yang dikenal seperti NUPAKAGE, PowHeartBeat, RUDEBIRD, DOWNTOWN (PhantomNet), dan EtherealGh0st (alias CCoreDoor).