Một nhóm hoạt động gián điệp mạng bị nghi ngờ trước đây đã được phát hiện nhắm mục tiêu vào các tổ chức chính phủ và tư nhân trên toàn cầu, trải dài khắp Châu Phi, Châu Á, Bắc Mỹ, Nam Mỹ và Châu Đại Dương, đã được đánh giá là một tác nhân đe dọa do nhà nước Trung Quốc bảo trợ.
Recorded Future, công ty đã theo dõi hoạt động này dưới tên TAG-100, hiện đã nâng cấp nó thành một nhóm tin tặc có tên là RedNovember. Nó cũng được Microsoft theo dõi với tên Storm-2077.
"Giữa tháng 6 năm 2024 và tháng 7 năm 2025, RedNovember (trùng lặp với Storm-2077) đã nhắm mục tiêu vào các thiết bị ngoại vi của các tổ chức cao cấp trên toàn cầu và sử dụng backdoor Go-based Pantegana cùng Cobalt Strike như một phần của các cuộc tấn công," công ty thuộc sở hữu của Mastercard cho biết trong một báo cáo được chia sẻ với The Hacker News.
"Nhóm này đã mở rộng phạm vi nhắm mục tiêu sang các tổ chức chính phủ và khu vực tư nhân, bao gồm các tổ chức quốc phòng và hàng không vũ trụ, các tổ chức không gian và các công ty luật."
Một số nạn nhân mới có khả năng của tác nhân đe dọa này bao gồm một bộ ngoại giao ở Trung Á, một tổ chức an ninh nhà nước ở Châu Phi, một cơ quan chính phủ Châu Âu và một chính phủ Đông Nam Á. Nhóm này cũng được cho là đã xâm nhập ít nhất hai nhà thầu quốc phòng của Hoa Kỳ (U.S.), một nhà sản xuất động cơ Châu Âu và một cơ quan hợp tác liên chính phủ tập trung vào thương mại ở Đông Nam Á.
RedNovember lần đầu tiên được Recorded Future ghi lại hơn một năm trước, với việc sử dụng framework hậu khai thác Pantegana và Spark RAT sau khi vũ khí hóa các lỗ hổng bảo mật đã biết trong một số thiết bị ngoại vi hướng internet từ Check Point (CVE-2024-24919), Cisco, Citrix, F5, Fortinet, Ivanti, Palo Alto Networks (CVE-2024-3400) và SonicWall để truy cập ban đầu.
Việc tập trung vào các giải pháp bảo mật như VPNs, firewalls, load balancers, hạ tầng ảo hóa và email servers phản ánh một xu hướng ngày càng được áp dụng bởi các nhóm tin tặc do nhà nước Trung Quốc bảo trợ khác để đột nhập vào các mạng lưới quan trọng và duy trì quyền truy cập trong thời gian dài.
Một khía cạnh đáng chú ý trong kỹ thuật tấn công của tác nhân đe dọa này là việc sử dụng Pantegana và Spark RAT, cả hai đều là các công cụ mã nguồn mở. Việc áp dụng này có thể là một nỗ lực để tái sử dụng các chương trình hiện có nhằm mục đích của chúng và gây nhầm lẫn trong việc xác định nguồn gốc, một đặc điểm của các tác nhân gián điệp.
Các cuộc tấn công cũng bao gồm việc sử dụng một biến thể của loader Go-based công khai LESLIELOADER để khởi chạy Spark RAT hoặc Cobalt Strike Beacons trên các thiết bị bị xâm nhập.
RedNovember được cho là sử dụng các dịch vụ VPN như ExpressVPN và Warp VPN để quản lý và kết nối với hai nhóm máy chủ được sử dụng để khai thác các thiết bị hướng internet và giao tiếp với Pantegana, Spark RAT và Cobalt Strike, một chương trình hợp pháp khác đã bị các tác nhân độc hại lạm dụng rộng rãi.
Trong khoảng thời gian từ tháng 6 năm 2024 đến tháng 5 năm 2025, phần lớn nỗ lực nhắm mục tiêu của nhóm tin tặc này tập trung vào Panama, U.S., Đài Loan và Hàn Quốc. Gần đây nhất vào tháng 4 năm 2025, nhóm này đã được phát hiện nhắm mục tiêu vào các thiết bị Ivanti Connect Secure liên quan đến một tờ báo và một nhà thầu kỹ thuật và quân sự, cả hai đều có trụ sở tại U.S.
Recorded Future cho biết họ cũng xác định được đối thủ có khả năng nhắm mục tiêu vào các cổng Microsoft Outlook Web Access (OWA) thuộc về một quốc gia Nam Mỹ trước chuyến thăm cấp nhà nước của quốc gia đó đến Trung Quốc.
"RedNovember trong lịch sử đã nhắm mục tiêu vào nhiều quốc gia và lĩnh vực khác nhau, cho thấy các yêu cầu tình báo rộng và thay đổi," công ty lưu ý. "Hoạt động của RedNovember cho đến nay chủ yếu tập trung vào một số khu vực địa lý quan trọng, bao gồm U.S., Đông Nam Á, khu vực Thái Bình Dương và Nam Mỹ."
