Nel novembre del 2024, un attacco ransomware da parte del gruppo RA World ha preso di mira un'azienda di software e servizi asiatica attraverso un toolset malevolo tipicamente utilizzato dai gruppi di cyber-spionaggio cinesi. La scoperta ha sollevato sospetti su un possibile hacker solitario che opera come attore di ransomware per conto proprio. Durante l'attacco, è stato utilizzato un toolset distintivo che era stato in precedenza impiegato da un attore legato alla Cina in attacchi di spionaggio classici, come riportato dal Symantec Threat Hunter Team. In attacchi precedenti, questo toolset sembrava essere usato per mantenere una presenza persistente nelle organizzazioni attraverso l'installazione di backdoor.

Un caso simile è stato registrato nel luglio 2024, quando il Ministero degli Esteri di un paese dell'Europa sudorientale è stato compromesso tramite tecniche classiche di side-loading DLL per distribuire PlugX, un malware frequentemente utilizzato dal gruppo Mustang Panda. L'attacco ha impiegato un eseguibile legittimo di Toshiba per caricare un DLL malevolo, che fungeva da tramite per caricare il payload PlugX criptato. Altri attacchi associati a questo toolset hanno coinvolto enti governativi in Europa sudorientale e Asia sudorientale, un operatore di telecomunicazioni e un altro ministero governativo nel gennaio 2025.

Symantec ha osservato che a novembre 2024 il variant PlugX è stato distribuito come parte di una campagna di estorsione criminale contro una media azienda di software e servizi in Asia meridionale. Sebbene non sia chiaro come la rete aziendale sia stata compromessa, l'attaccante ha dichiarato di aver sfruttato una vulnerabilità conosciuta nel software PAN-OS di Palo Alto Networks. L'attacco si è concluso con l'encryption delle macchine usando il ransomware RA World, dopo che il malware PlugX era stato lanciato.

Analisi precedenti di Cisco Talos e Palo Alto Networks hanno evidenziato somiglianze nelle tecniche tra RA World e un gruppo di minacce cinese noto come Bronze Starlight, che ha una storia di utilizzo di famiglie di ransomware di breve durata. Symantec ipotizza che dietro l'attacco possa esserci un attore solitario, forse alla ricerca di guadagni rapidi. Questa forma di attività, sebbene rara nel contesto cinese, è più comune tra attori di minacce provenienti da Iran e Corea del Nord.

Il gruppo Salt Typhoon, un altro attore di spionaggio cinese, è stato recentemente collegato ad attacchi che sfruttano vulnerabilità conosciute nei dispositivi di rete Cisco, puntando a provider di telecomunicazioni e servizi internet in vari paesi. Questi attacchi mirano a sfruttare dispositivi vulnerabili per ottenere accesso persistente e estrarre dati.

Per mitigare tali rischi, è consigliato applicare patch di sicurezza e aggiornamenti ai dispositivi di rete accessibili pubblicamente, evitando di esporre interfacce amministrative o servizi non essenziali su internet.