Хакеры RedNovember атакуют правительства по всему миру, используя уязвимости в сетевом оборудовании, инструменты Pantegana и Cobalt Strike
Изображение: recraft
Государственная хакерская группировка RedNovember, предположительно связанная с Китаем, активизировала операции по всему миру, нацелившись на правительственные структуры и частные компании в Африке, Азии, Северной и Южной Америке, Океании и Европе. Об этом говорится в новом отчёте компании Recorded Future, представленной ресурсом The Hacker News.
Группировка ранее отслеживалась как TAG‑100, а Microsoft присвоила ей обозначение Storm‑2077. По данным исследователей, с июня 2024 года по июль 2025 года RedNovember использовала бэкдор Pantegana, написанный на Go, и известный инструмент Cobalt Strike для атак на периметральные устройства, принадлежащие крупным организациям в разных странах.
В зону интересов RedNovember попали ведомства государственного управления, аэрокосмические и оборонные предприятия, а также юридические фирмы. Среди возможных жертв — министерство иностранных дел одной из стран Центральной Азии, служба госбезопасности в Африке, правительственные учреждения в Европе и Юго-Восточной Азии, а также как минимум два американских оборонных подрядчика и европейский производитель авиационных двигателей.
RedNovember активно использует уязвимости в сетевых решениях от ведущих мировых производителей. В отчёте зафиксированы случаи эксплуатации уязвимостей CVE‑2024‑24919 (Check Point), CVE‑2024‑3400 (Palo Alto Networks), а также багов в продуктах Cisco, Citrix, F5, Fortinet, Ivanti и SonicWall. Через такие бреши злоумышленники получают первоначальный доступ к сетям и затем устанавливают инструменты для длительного присутствия.
После проникновения RedNovember применяет платформу Pantegana для дальнейшей эксплуатации систем и запуска Spark RAT — удалённого трояна с широкими возможностями управления заражённой системой. Вектор атак сосредоточен на инфраструктуре, находящейся на периметре сети — VPN-серверах, почтовых шлюзах, брандмауэрах, балансировщиках нагрузки, средствах виртуализации.
Исследователи говорят, что использование уязвимых сетевых устройств как точки входа — типичная тактика китайских хакерских группировок, поддерживаемых государством. Такие методы позволяют не только обойти защиту, но и длительно сохранять незаметное присутствие в скомпрометированных сетях.
Факт атак на инфраструктуру оборонных и дипломатических учреждений, а также организаций, занимающихся международным сотрудничеством, подтверждает стратегический характер операций. Подобные действия, по мнению экспертов, направлены не только на кражу данных, но и на получение доступа к основным политическим, экономическим и технологическим процессам.
