Китайская государственная хакерская группа, получившая новое название RedNovember от компании Recorded Future, проводит масштабную глобальную кампанию кибершпионажа. Основными целями являются правительственные и частные организации в Африке, Азии, Северной и Южной Америке, а также Океании. Аналитики Mastercard, владеющей Recorded Future, отмечают, что деятельность группы мотивирована «широкими и меняющимися разведывательными потребностями». Ранее эта же группа отслеживалась Microsoft под кодовым названием Storm-2077 и самой Recorded Future как TAG-100.
Основной вектор атак RedNovember — эксплуатация уязвимостей в устройствах периметра сети, таких как VPN-шлюзы, межсетевые экраны, балансировщики нагрузки и инфраструктура виртуализации. Особое внимание группа уделяет устройствам Ivanti Connect Secure и почтовым серверам Microsoft Outlook Web Access (OWA). Проникая в сеть, злоумышленники развертывают арсенал инструментов для закрепления, управления и сбора данных.
В качестве основного инструмента для первоначального доступа и закрепления в скомпрометированных системах используется бэкдор Pantegana, написанный на языке программирования Go. Для дальнейшего развития атаки и горизонтального перемещения по сети операторы применяют легитимный инструмент для тестирования на проникновение Cobalt Strike. Также в их арсенале замечены общедоступный загрузчик LESLIELOADER и троян удаленного доступа с открытым исходным кодом Spark RAT. Использование публичных и легитимных инструментов значительно усложняет процесс атрибуции атак.
Для обеспечения анонимности и управления своей инфраструктурой RedNovember активно использует коммерческие VPN-сервисы, в частности ExpressVPN и Warp VPN. Их операционная инфраструктура разделена на две части: один комплекс серверов используется для эксплуатации уязвимостей и доставки вредоносного ПО, а другой — для связи с уже установленными имплантами и управления ими.
География атак охватывает весь мир, однако особое внимание группа уделяет США, странам Юго-Восточной Азии, Тихоокеанскому региону, Южной Америке, Панаме, Тайваню и Южной Корее. С июня 2024 года по май 2025 года наблюдалась повышенная активность, направленная именно на эти регионы.
Среди целей RedNovember числятся правительственные учреждения, оборонные и аэрокосмические компании, космические организации, юридические фирмы, а также крупные частные предприятия. Подтвержденные и вероятные жертвы включают министерство иностранных дел в Центральной Азии, государственную организацию безопасности в Африке, правительственную дирекцию в Европе и правительство одной из стран Юго-Восточной Азии.
В корпоративном секторе пострадали как минимум два оборонных подрядчика из США, европейский производитель двигателей, межправительственная организация по торговому сотрудничеству в Юго-Восточной Азии, а также газета и инженерно-военный подрядчик, базирующиеся в США. Зафиксирован случай целенаправленной атаки на порталы Microsoft OWA одной из стран Южной Америки непосредственно перед государственным визитом ее представителей в Китай.
Активная фаза кампании с использованием бэкдора Pantegana и Cobalt Strike продолжалась как минимум с июня 2024 года по июль 2025 года. В апреле 2025 года была зафиксирована целенаправленная атака на устройства Ivanti Connect Secure, принадлежащие упомянутой американской газете и военно-инженерному подрядчику, что подтверждает постоянный поиск и эксплуатацию новых уязвимостей в сетевом периметре.
Изображение носит иллюстративный характер
Основной вектор атак RedNovember — эксплуатация уязвимостей в устройствах периметра сети, таких как VPN-шлюзы, межсетевые экраны, балансировщики нагрузки и инфраструктура виртуализации. Особое внимание группа уделяет устройствам Ivanti Connect Secure и почтовым серверам Microsoft Outlook Web Access (OWA). Проникая в сеть, злоумышленники развертывают арсенал инструментов для закрепления, управления и сбора данных.
В качестве основного инструмента для первоначального доступа и закрепления в скомпрометированных системах используется бэкдор Pantegana, написанный на языке программирования Go. Для дальнейшего развития атаки и горизонтального перемещения по сети операторы применяют легитимный инструмент для тестирования на проникновение Cobalt Strike. Также в их арсенале замечены общедоступный загрузчик LESLIELOADER и троян удаленного доступа с открытым исходным кодом Spark RAT. Использование публичных и легитимных инструментов значительно усложняет процесс атрибуции атак.
Для обеспечения анонимности и управления своей инфраструктурой RedNovember активно использует коммерческие VPN-сервисы, в частности ExpressVPN и Warp VPN. Их операционная инфраструктура разделена на две части: один комплекс серверов используется для эксплуатации уязвимостей и доставки вредоносного ПО, а другой — для связи с уже установленными имплантами и управления ими.
География атак охватывает весь мир, однако особое внимание группа уделяет США, странам Юго-Восточной Азии, Тихоокеанскому региону, Южной Америке, Панаме, Тайваню и Южной Корее. С июня 2024 года по май 2025 года наблюдалась повышенная активность, направленная именно на эти регионы.
Среди целей RedNovember числятся правительственные учреждения, оборонные и аэрокосмические компании, космические организации, юридические фирмы, а также крупные частные предприятия. Подтвержденные и вероятные жертвы включают министерство иностранных дел в Центральной Азии, государственную организацию безопасности в Африке, правительственную дирекцию в Европе и правительство одной из стран Юго-Восточной Азии.
В корпоративном секторе пострадали как минимум два оборонных подрядчика из США, европейский производитель двигателей, межправительственная организация по торговому сотрудничеству в Юго-Восточной Азии, а также газета и инженерно-военный подрядчик, базирующиеся в США. Зафиксирован случай целенаправленной атаки на порталы Microsoft OWA одной из стран Южной Америки непосредственно перед государственным визитом ее представителей в Китай.
Активная фаза кампании с использованием бэкдора Pantegana и Cobalt Strike продолжалась как минимум с июня 2024 года по июль 2025 года. В апреле 2025 года была зафиксирована целенаправленная атака на устройства Ivanti Connect Secure, принадлежащие упомянутой американской газете и военно-инженерному подрядчику, что подтверждает постоянный поиск и эксплуатацию новых уязвимостей в сетевом периметре.
