Китайская группировка RedNovember атаковала госструктуры и оборонные компании по всему миру

Компания Recorded Future сообщила о масштабной кибершпионской кампании, связанной с Китаем. По её данным, с июня 2024 г. по июль 2025 г. группа RedNovember (в классификации Microsoft — Storm-2077) атаковала устройства, отвечающие за защиту и работу сетевого периметра (VPN-шлюзы, файрволы, балансировщики нагрузки, почтовые серверы и др.) организаций в США, Европе, Азии, Африке и Океании.

Для проникновения использовались уязвимости в продуктах Check Point (CVE-2024-24919), Cisco, Citrix, F5, Fortinet, Ivanti, Palo Alto Networks (CVE-2024-3400) и SonicWall. В атаках применялись открытые инструменты Pantegana и Spark RAT, а также Cobalt Strike — легальный инструмент для тестирования информационной безопасности, который широко используется злоумышленниками. Управление инфраструктурой велось через VPN-сервисы ExpressVPN и Warp VPN.

Среди предполагаемых новых жертв — МИД одной из стран Центральной Азии, служба безопасности африканского государства, правительственное ведомство одной из стран Европы, правительство государства Юго-Восточной Азии, два американских оборонных подрядчика, европейский производитель двигателей и межгосударственная торговая организация в Азии. В апреле 2025 г. RedNovember также атаковала веб-порталы Ivanti Connect Secure, принадлежащие американской газете и военному подрядчику, и, как полагают аналитики, пыталась взломать Microsoft Outlook Web Access в одной из стран Южной Америки перед её визитом в Китай.

Продолжение ниже