En ovanlig aktivitet har pågått på de ryska cyberbrottsforumen där hackare observerades kommunicera med kinesiska hotaktörer för samarbete.
Säkerhetsforskare från Flashpoint, ett hotintelligensföretag, märkte en betydande ökning av aktiviteterna för mandarintalande hotaktörer på ett ryskt hackingforum som heter RAMP och flera gemenskaper på den mörka webben.
Kinesiska hotaktörer sågs uppmuntras att dela flera tips, engagera sig i diskussioner och samarbeta i cyberattacker.
Flashpoint meddelade vidare att ryssarna har låst upp dörrar för många engelska och mandarintalande cyberkriminella på domäner som en gång bara var begränsade för dem.
Flashpoints rapport nämnde vidare:
"I oktober gjorde Ramp-administratörer ändringar i forumets gränssnitt som gör det mer tillgängligt för kinesisktalande och engelsktalande hotaktörer,"
Kinesiska hotaktörer närvarande i ryska hackingforum
Ryska hackingpaneler finns nu även på mandarin och engelska, förutom ryska. Dessutom tilltalas forummedlemmarna nu ofta på engelska av administratörerna.
Kommentarer och innehåll på engelska blir mer känt bland ryska cyberbrottslingar. Högt uppsatta forummedlemmar och administratörer försöker interagera med de kinesisktalande medlemmarna med hjälp av det maskingenererade kinesiska språket.
Forskare identifierade vidare ett 30-tal kinesiska hotaktörer på forumet. De föreslår att en betydande sannolikhet för att ryssar gör detta är att försöka etablera en allians med kinesiska hackare för att starta olika cyberattacker, möjligen mot amerikaner, handelskänsliga eller ombord på cyberkriminella för Ransomware-as-a-Service (RaaS) operationer.
Det meddelades att denna åtgärd initierades av Kajit som är administratör på RAMP, som hävdade att han nyligen besökt Kina och kunde tala mandarin.
De ryska och kinesiska hotaktörernas samarbete är dock inte bara begränsat till RAMP. Ett liknande samarbete noterades på "XSS forum" av Flashpoint.
Ny forskning av Flashpoint förklarade:
"I skärmdumpen nedan hälsar XSS-användaren "hoffman" två forummedlemmar som avslöjade sig som kineser,"
"Hotaktören frågar dem om de kan ge information om ransomware och köp av olika typer av systemsårbarheter. Språket verkar vara maskinöversatt kinesiska."
Källa: Flampunkt
Föregående månad kallade ‘Orange' eller ‘boriselcin', som är en RAMP-administratör och även driver en webbplats som heter Groove, cyberkriminella att rikta in sig på USA i ett inlägg.
Efter att inlägget fått mediebevakning, förklarade administratören att det var menat att vara en falsk operation och postades endast för att manipulera säkerheten och media.
Ryska hotaktörer är inte de enda som vill rikta sig mot USA för cyberattacker. Tidigare hade iranska hackare också riktat in sig på amerikanska organisationer med Ransomware.
Cybersäkerhetsforskare från Intel 471 och McAfee nämnde att hotaktören bara försökte dölja det eftersom den eftersträvade RaaS-attacken inte gick som förväntat.
Ett nyligen inlägg från Conti ransomware-operationen på RAMP nämnde behovet av att anställa medarbetare och köpa den första vägen till nätverk. Gänget nämner att de bara föredrar att arbeta med ryska cyberkriminella men är redo att göra ett undantag för de kinesiska hotaktörerna.
Den här annonsen är på ryska eftersom vi bara arbetar med rysktalande. MEN, av respekt för administratören kommer vi att göra ett undantag för kinesisktalande användare och till och med översätta detta meddelande till kinesiska (du kan till och med duplicera det på mandarin och kanotonesiska!)”- Conti ransomware operation.
Källa: BleepingComputer
Av detta verkar det som att RAMP-hackingforumet uppmuntrar mandarintalande användare i attacker.