Daha önce Afrika, Asya, Kuzey Amerika, Güney Amerika ve Okyanusya’yı kapsayan küresel hükümet ve özel sektör kuruluşlarını hedefleyen şüpheli bir siber casusluk faaliyet kümesi, Çin devlet destekli bir tehdit oyuncusu olarak değerlendirildi.
Takma TAG-100 altındaki etkinliği izleyen kayıtlı gelecek, şimdi adını verilen bir hackleme grubuna mezun etti Rednove. Ayrıca Microsoft tarafından Storm-2077 olarak izlenir.
Mastercard’ın sahip olduğu şirket, “Haziran 2024 ve Temmuz 2025 arasında, Rednovember (fırtına-20177 ile örtüşen) yüksek profilli kuruluşların çevre aletlerini küresel olarak hedefledi ve GO tabanlı arka kapı Pantegana ve kobalt grevini müdahalelerinin bir parçası olarak kullandı.”
Diyerek şöyle devam etti: “Grup, savunma ve havacılık organizasyonları, uzay kuruluşları ve hukuk firmaları da dahil olmak üzere hükümet ve özel sektör kuruluşlarında hedefleme görevini genişletti.”
Tehdit oyuncusunun muhtemel yeni kurbanlarından bazıları, Orta Asya’daki bir Dışişleri Bakanlığı, Afrika’da bir devlet güvenlik örgütü, bir Avrupa Hükümeti Direktörlüğü ve Güneydoğu Asya hükümeti yer alıyor. Grubun ayrıca Güneydoğu Asya’da en az iki ABD (ABD) savunma yüklenicisini, bir Avrupalı motor üreticisini ve ticaret odaklı bir hükümetler arası işbirliği organını ihlal ettiğine inanılıyor.
Rednovember, ilk olarak bir yıl önce kaydedilen gelecek tarafından belgelendi, Pantegana’nın sömürü sonrası çerçeve ve kıvılcım sıçanını, kontrol noktasından (CVE-2024-24919) birkaç internete bakan çevre aletinde silahlandırılmasının ardından detaylandırıldı (CVE-2024-24919, Cisco, Citrix, F5, Fortinet, Ivanti, Citwex, F5, Fortinet, Ivanti, Citwets ( ve ilk erişim için Sonicwall.
VPN’ler, güvenlik duvarları, yük dengeleyicileri, sanallaştırma altyapısı ve e-posta sunucuları gibi güvenlik çözümlerini hedeflemeye odaklanmak, diğer Çin devlet destekli hack grupları tarafından ilgi çekici ağlara girme ve uzun süreler boyunca kalıcılığı korumak için giderek daha fazla benimsenen bir eğilimi yansıtır.
Tehdit oyuncusunun Tradecraft’ın dikkate değer bir yönü, her ikisi de açık kaynaklı araçlar olan Pantegana ve Spark Rat’ın kullanılmasıdır. Evlat edinme muhtemelen mevcut programları kendi yararlarına yeniden kullanma ve casusluk aktörlerinin ayırt edici özelliği olan atıf çabalarını karıştırma girişimidir.
Saldırılar ayrıca, uzlaşmış cihazlarda Spark sıçan veya kobalt grev işaretleri fırlatmak için halka açık GO tabanlı yükleyici Leslieloader’ın bir çeşidinin kullanılmasını da içeriyor.
Rednovember, internete bakan cihazların sömürülmesi için kullanılan ve kötü aktörler tarafından büyük ölçüde istismar edilen başka bir meşru program olan Pantegana, Spark Sıçan ve Kobalt Strike ile iletişim kurmak için kullanılan iki sunucuyu yönetmek ve bağlamak için ExpressVPN ve Warp VPN gibi VPN hizmetlerinden yararlandığı söyleniyor.
Haziran 2024 ve Mayıs 2025 arasında, hack grubunun hedefleme çabalarının çoğu Panama, ABD, Tayvan ve Güney Kore’ye odaklanmıştır. Nisan 2025’e kadar yakın bir zamanda, her ikisi de ABD’de bulunan bir gazete ve bir mühendislik ve askeri yükleniciyle ilişkili Ivanti Connect Güvenli cihazları hedeflediği bulundu.
Kaydedilen Future, o ülkenin Çin’e yaptığı devlet ziyaretinden önce bir Güney Amerika ülkesine ait Microsoft Outlook Web Erişim (OWA) portallarını hedefleyen rakipleri de belirlediğini söyledi.
Şirket, “Rednovember, tarihsel olarak geniş ve değişen istihbarat gereksinimlerini gösteren çeşitli ülke ve sektör yelpazesini hedef aldı.” “Rednoveman’ın bugüne kadarki faaliyeti öncelikle ABD, Güneydoğu Asya, Pasifik Bölgesi ve Güney Amerika da dahil olmak üzere çeşitli önemli coğrafyalara odaklandı.”