El presunto grupo de ciberespionaje, previamente descubierto que se dirige al gobierno global y a las organizaciones del sector privado en África, Asia, América del Norte, América del Sur y Oceanía, está calificado como un actor de amenazas patrocinado por el estado.
Grabado Future, que estaba rastreando actividades bajo el apodo Tag-100, se graduó en un grupo de piratería llamado Rednovember. También es rastreado por Microsoft como Storm-2077.
«Entre junio de 2024 y junio de 2025, Rednovember (que se superpone con Storm-2077) se dirigió a los electrodomésticos objetivo de organizaciones de alto perfil en todo el mundo, utilizando las pantanosas traseras basadas en GO y los ataques de cobalto como parte de la invasión».
«El grupo amplió la autoridad objetivo en las organizaciones gubernamentales y del sector privado, incluidas las organizaciones de defensa y aeroespaciales, organizaciones espaciales y firmas de abogados».
Algunas de las nuevas víctimas de líderes de amenazas incluyen el Ministerio de Asuntos Exteriores de Asia Central, la Agencia de Seguridad Nacional Africana, la Oficina del Gobierno Europeo y el Gobierno del Sudeste Asiático. También se cree que el grupo violó al menos a dos contratistas de defensa estadounidense (EE. UU.), Fabricantes de motores europeos y agencias de cooperación intergubernamental que se centran en el comercio en el sudeste asiático.
Rednovember, documentado por primera vez por Future, registrado hace más de un año, detalló el marco post-explosión post-Pantegana y el uso de SparkRats después de la arma de fallas de seguridad conocidas en varios electrodomésticos orientados a Internet desde el punto de control (CVE-2024-24919), Cisco, Citrix, F5, Ivanti y Paloves. (CVE-2024-3400), y acceso inicial a SonicWall.
El enfoque en dirigirse a soluciones de seguridad como VPN, firewalls, equilibradores de carga, infraestructura de virtualización y servidores de correo electrónico reflejan las tendencias de que otros grupos de piratería patrocinados por China han ingresado redes de interés y se están adoptando cada vez más para mantener la sostenibilidad a largo plazo.
Un aspecto notable de la comercialidad de los actores de amenazas es el uso de pantanosas y chispa, ambas herramientas de código abierto. El reclutamiento es un intento de reutilizar los programas existentes por sus intereses e interrumpir los esfuerzos de atribución que son característicos de los espinistas.
El ataque utiliza una variante públicamente disponible del cargador basado en GO, Leslieloader, para disparar una faro de rata Spark o Cobalt Strike en el dispositivo comprometido.
Se dice que Rednovember utiliza servicios de VPN como ExpressVPN y Warp VPN para usar dispositivos orientados a Internet, y administrar y conectarse a dos servidores que se comunican con pantaneo, chispa rata y ataque de cobalto.
Entre junio de 2024 y mayo de 2025, muchos de los esfuerzos de orientación del grupo de piratería se centraron en Panamá, Estados Unidos, Taiwán y Corea del Sur. En abril de 2025, se ha encontrado recientemente que se dirige a los electrodomésticos seguros asociados con los periódicos estadounidenses y los contratistas militares y de ingeniería.
El futuro registrado también dijo que había identificado enemigos que probablemente se dirigieron al portal de acceso web de Microsoft Outlook (OWA) perteneciente a un país sudamericano antes de visitar China.
«Rednovember ha dirigido históricamente a una amplia gama de países y sectores, lo que sugiere una amplia gama de requisitos de inteligencia», dijo la compañía. «Las actividades de Rednovender hasta ahora se han centrado principalmente en varias regiones clave, incluidos los Estados Unidos, el sudeste asiático, la región del Pacífico y América del Sur».
Source link
