Китайская группа RedNovember расширяет глобальный шпионаж через атаки на периметровые устройства

В период с июня 2024 по июль 2025 года RedNovember, чья активность пересекается с группировкой Storm-2077, скомпрометировала периметровые устройства влиятельных глобальных организаций. В своих операциях группа использовала бэкдор Pantegana, написанный на языке Go, и фреймворк Cobalt Strike. География целей группы расширилась, включив организации оборонно-космической промышленности, космические агентства и юридические фирмы. Среди новых жертв identified министерство иностранных дел в Центральной Азии, служба государственной безопасности в Африке, правительственное управление в Европе и правительство страны Юго-Восточной Азии. Также есть признаки компрометации по меньшей мере двух американских оборонных подрядчиков, европейского производителя двигателей и межправительственной организации в Юго-Восточной Азии.

Группа активно использует тактику разведки и компрометации периметровых устройств для получения первоначального доступа. В фокусе RedNovember оказались устройства SonicWall, Cisco ASA, F5 BIG-IP, Palo Alto Networks GlobalProtect, Sophos SSL VPN, Fortinet FortiGate, а также серверы Outlook Web Access и VPN-устройства Ivanti Connect Secure. Эта деятельность демонстрирует способность группы комбинировать эксплойты для уязвимостей с открытыми фреймворками для пост-эксплуатации, такими как Pantegana, что снижает порог входа для менее квалифицированных злоумышленников и позволяет более продвинутым группам избегать использования кастомных инструментов, скрывая свою принадлежность.

Ключевые выводы исследования указывают на то, что RedNovember продолжает полагаться на фреймворки командования и управления Pantegana и Cobalt Strike, а также на открытый бэкдор SparkRAT. Группа значительно расширила спектр целей, включив в него целенаправленные фишинговые атаки и попытки эксплуатации уязвимостей против объектов оборонно-промышленной базы США и европейских космических организаций. Важно отметить, что часть активности группы, наблюдаемая на Тайване и в Панаме, происходила в непосредственной близости к геополитическим и военным событиям, имеющим ключевое стратегическое значение для Китая.

Технический анализ показывает, что группа использует VPN-сервисы, такие как ExpressVPN, для администрирования своей инфраструктуры, а также, возможно, начала применять другие сервисы, например, Warp VPN. Мониторинг активных серверов управления и контроля выявил жертв по всему миру, сконцентрированных в секторах аэрокосмической и оборонной промышленности, государственного управления и профессиональных услуг. Активность группы варьируется от простого просмотра до целенаправленной разведки и успешной компрометации.

Особый интерес представляет активность RedNovember на Тайване. В декабре 2024 года, во время внезапных военных учений Китая вокруг острова, была зафиксирована связь между вредоносным сервером группы и объектом на Тайване, где расположена военно-воздушная база и ведутся полупроводниковые исследования. В апреле 2025 года группа провела разведку против инфраструктуры двух национальных научно-исследовательских организаций Тайваня, включая ту, что занимается полупроводниками.

В Южной Корее RedNovember скомпрометировала некоммерческую организацию в финансовом секторе. В рамках апрельской волны атак на VPN-устройства Ivanti в 2025 году была зафиксирована предполагаемая компрометация организации, связанной с ядерной безопасностью, которая финансируется правительством Южной Кореи и играет ключевую роль в разработках суперкомпьютеров и квантовых вычислений.

Значительные усилия по разведке были предприняты группой в отношении более чем 30 правительственных организаций Панамы в апреле 2025 года. Эта активность последовала за визитом министра обороны США Пита Хегсета в Панаму и заявлениями бывшего президента США Дональда Трампа о возможном интересе США к контролю над Панамским каналом. Кроме того, Панама объявила о выходе из инициативы "Пояс и путь" и пересмотре контрактов с гонконгской компанией, что, вероятно, и вызвало всплеск интереса китайских хакеров.

RedNovember также усиливает свои атаки на американские и европейские организации в сфере обороны и аэрокосмической промышленности. В июле 2024 года группа провела масштабную разведку против известных организаций в этой области, сосредоточив внимание на Соединенных Штатах.В апреле 2025 года были зафиксированы связи между сервером разведки RedNovember и инфраструктурой европейского исследовательского центра, связанного с космосом. Группа также атаковала специализированного американского инженерного и военного подрядчика через уязвимости в VPN Ivanti.

В частном секторе группа продемонстрировала интерес к европейским производителям, глобальным юридическим фирмам, тайваньским технологическим компаниям и американским нефтегазовым корпорациям. В апреле 2025 года RedNovember провела разведку двух американских нефтегазовых компаний, что согласуется с более ранними сообщениями о targeting американских коммунальных предприятий.

Группа неоднократно проводила массированные атаки на конкретные периметровые устройства сразу после раскрытия уязвимостей и публикации эксплойтов. Это наблюдалось в случае с уязвимостями в Palo Alto Networks GlobalProtect и Check Point VPN. В апреле 2025 года кампания была сфокусирована на VPN-устройствах Ivanti Connect Secure, среди целей которых были крупная американская газета и южнокорейские научно-исследовательские институты.

В своем арсенале RedNovember использует такие инструменты, как загрузчик LESLIELOADER для развертывания SparkRAT и Cobalt Strike, а также вредоносные документы для фишинга. Группа также применяет различные интернет-сервисы, включая сканеры уязвимостей PortSwigger и Acunetix, файлообменник pan[.]xj[.]hk, облачные хранилища и архив Wayback Machine для разведывательной деятельности.

Эксперты Insikt Group прогнозируют, что RedNovember, как и другие китайские группировки государственного спонсорства, с высокой степенью вероятности продолжит targeting периметровых устройств и эксплуатацию уязвимостей вскоре после их публичного раскрытия. Для защиты организациям рекомендуется своевременно применять обновления безопасности, особенно для внешне ориентированных устройств, внедрять стратегии глубокой эшелонированной обороны, сегментировать сети и отслеживать активность, связанную с известной инфраструктурой группы. Широкая география и разнообразие секторов-целей RedNovember указывают на обширные и изменчивые разведывательные интересы, стоящие за ее деятельностью.

IPv4

• 198.98.50.218
• 198.98.53.163
• 198.98.61.155
• 205.185.124.24
• 205.185.126.208
• 209.141.37.254
• 209.141.42.131
• 209.141.46.83
• 209.141.57.116
• 45.61.187.124
• 47.103.218.35

Domains

• aeifile.offiec.us.kg
• citrix.offiec.us.kg
• cna.offiec.us.kg
• download.offiec.us.kg
• gp.offiec.us.kg
• login.offiec.us.kg
• test.offiec.us.kg
• vpn.offiec.us.kg
• vpn1.offiec.us.kg

URLs

• http://47.103.218.35/GSjY
• http://47.103.218.35/pixel

SHA256

• 06e87a03507213322d876b459194021f876ba90f85c5faa401820954045cd1d2
• 134ed0407956ff1ac59f38e89742e357cc3be565cbaff18b424ed1bcfd130978
• 1e37efcd3cd647e6ce5414ae8e353ca690c2d3f7a701a1cc2ec29a4813f5c90b
• 2bee2cc42322e928bfa0650c5416b14bc0200f2d1156304179d63982baa835dc
• 675874ac8fbe66e76244759ae398a4d30da84ef2435a1384c4be549ca9eba18b
• 8679a25c78e104c6e74996b75882e378f420614fe1379ee9c1e266a11ffa096d
• 9a1077f57bac5610d44ac46a8958dd5469522a3db466f164f4dfeada73847b79
• dba860617762bc713771de351026eb683546b37489fa0359064948f263438030