Теневая империя RedNovember проникла в оборонку. Год скрытой работы — следы ведут в одну страну

leer en español

RedNovember Storm-2077 Recorded Future Microsoft Pantegana Spark RAT Cobalt Strike кибершпионаж
Теневая империя RedNovember проникла в оборонку. Год скрытой работы — следы ведут в одну страну
RedNovember Storm-2077 Recorded Future Microsoft Pantegana Spark RAT Cobalt Strike кибершпионаж

Жертвами стали министерства и космические агентства, но истинные мотивы остаются загадкой.

image

Группа RedNovember, которую специалисты Recorded Future ранее обозначали как TAG-100, официально признана отдельным кибершпионским коллективом, действующим в интересах Китая. Microsoft отслеживает его под кодовым названием Storm-2077. С июня 2024 по июль 2025 года участники этой структуры атаковали сетевые устройства организаций в Африке, Азии, Северной и Южной Америке, а также в Океании. Для закрепления в инфраструктуре использовался бэкдор Pantegana, написанный на Go, и широко известный инструмент Cobalt Strike.

Список целей заметно расширился: помимо государственных ведомств, внимание злоумышленников было сосредоточено на оборонной и аэрокосмической сфере, космических агентствах и юридических фирмах. Среди жертв предполагаются министерство иностранных дел в Центральной Азии, спецслужба в Африке, европейское правительственное управление и структуры в Юго-Восточной Азии. Кроме того, выявлены признаки атак на двух подрядчиков американского оборонного сектора, европейского производителя двигателей и международную организацию, занимающуюся вопросами торговли.

Первое упоминание RedNovember появилось более года назад, когда Recorded Future зафиксировала использование ими Pantegana и трояна Spark RAT для закрепления в системах. Доступ злоумышленники получали через эксплуатацию известных уязвимостей в устройствах Check Point, Cisco, Citrix, F5, Fortinet, Ivanti, Palo Alto Networks и SonicWall. Основная цель состояла в компрометации средств защиты — VPN, межсетевых экранов, балансировщиков нагрузки, почтовых и систем виртуализации. Подобная тактика характерна для китайских хакеров, стремящихся к долгосрочному присутствию в ключевых сетях.

Отличительной чертой этой кампании стала ставка на открытые инструменты Pantegana и Spark RAT. Их применение позволяет скрывать истинное происхождение атак и осложнять атрибуцию. В цепочке использовался и модифицированный загрузчик LESLIELOADER, который запускал Spark RAT или маяки Cobalt Strike на взломанных узлах. Для управления инфраструктурой RedNovember активно подключалась через VPN-сервисы ExpressVPN и Warp VPN, разделяя сервера для эксплуатации уязвимых устройств и обмена данными с бэкдорами.

С июня 2024 по май 2025 года наибольшее внимание хакеры уделяли Панаме, США, Тайваню и Южной Корее. В апреле 2025 года зафиксированы атаки на Ivanti Connect Secure, обслуживавшие американскую газету и подрядчика из оборонно-инженерного сектора. Кроме того, был выявлен интерес к почтовым Outlook Web Access порталами одного государства в Южной Америке накануне официального визита его делегации в Китай.

В совокупности собранные данные показывают, что RedNovember действует в глобальном масштабе, гибко меняя набор целей в зависимости от разведывательных задач. Основные регионы фокусировки остаются США, Юго-Восточная Азия, Тихоокеанский регион и Южная Америка.