Temmuz 2024’te, Future’ın Insikt Group’u kamuoyuna açıkladı TAG-100, GO tabanlı arka kapı Pantegana’yı dünya çapında yüksek profilli hükümete, hükümetler arası ve özel kuruluşlara karşı kullanan siber bir kampanyası.
Yeni kanıtlar artık TAG-100’ü Rednovember olarak adlandırılan Çin devlet destekli bir tehdit aktörüne bağlıyor.
Haziran 2024 ve Temmuz 2025 arasında, fırtına-20177 ile örtüşen Rednove, operasyonlarını çevre aletlerini ve VPN çözümlerini hedeflemek için genişletti ve Pantegana ve Kobalt grevini sürdürme için uyguladı.
Kaydedilen Gelecek Ağ Zekası, Orta Asya ve Güneydoğu Asya’daki Dışişleri Bakanlıkları, Afrika’da bir devlet güvenlik kuruluşu, bir Avrupa Hükümeti Direktörlüğü, iki ABD Savunma Yüklenicisi, bir Avrupa motor üreticisi ve Güneydoğu Asya’da ticaret odaklı bir hükümetler arası organ dahil olmak üzere olası mağdurları tanımlamaktadır.
Rednovember, keşif, başlangıç erişim ve olası uzlaşma yapmak için açık kaynak ve emtia C2 çerçevelerine (Pantegana, Kobalt Strike ve Sparkrat) güvenmeye devam ediyor.
Grup, hedeflemesini ABD Savunma Sanayi Üssü ve Avrupa Alanı ve Havacılık Organizasyonlarını Spearphishing ve Sömürü kampanyaları aracılığıyla içerecek şekilde genişletti.
Kenar cihazları – Firewalls, VPN’ler, yük dengeleyicileri ve e -posta sunucuları – birincil başlangıç erişim vektörünü yeniden değerlendirin.
Nisan 2025’te Rednovember, büyük bir ABD gazetesi ve özel bir mühendislik ve askeri yüklenicisi gibi hedefleri tarayan Ivanti Connect Secure VPN cihazlarına karşı odaklanmış bir kampanya düzenledi.
Birkaç müdahale, Aralık 2024’te Tayvan çevresindeki askeri tatbikatlar ve Nisan 2025’te Panama’ya yapılan ABD diplomatik ziyaretleri de dahil olmak üzere Çin’e stratejik ilgi alanları jeopolitik olaylarla çakıştı.
Daha önce TAG-100 olarak izlenen Rednovember, büyük ölçekli başlangıç tabanlarını elde etmek için internete bakan cihazlardan yararlanır, daha sonra sömürü sonrası etkinlik için Pantegana ve kobalt grevinden yararlanır.
Grubun halka açık POC istismarlarının ve açık kaynaklı backdoorların stratejik kullanımı, operasyonel maliyetleri düşürür ve ilişkilendirmeyi gizler.
Rednovember, güvenlik cihazlarını hedefleyen Çin devlet destekli aktörler arasında daha seçici, takip kampanyaları öncesinde erişimi ölçmek için daha geniş bir eğilimi örneklendiriyor.
Insikt Group’un telemetrisi, ExpressVPN ve potansiyel olarak diğer ticari VPN’ler aracılığıyla uygulanan Pantegana ve Kobalt Grevinin sürekli kullanımını doğrular.
İki GO tabanlı yükleyicinin (Leslieloader), alibaba-cn-net’te barındırılan sunucularla birlikte, serin yükleme Sparkrat ve Cobalt Strike Beacon gözlemlendi.
Rednovember ayrıca, VMware güvenlik yamaları olarak maskelenen Leslieloader’ı teslim etmek için Follina Kusurundan (CVE-2022-30190) sömüren kötü niyetli kelime ve PDF lures kullandı.
Kurban ve hedefleme
RednoveN’in kurbanları hükümet, savunma, havacılık, yasal ve teknoloji sektörlerini kapsıyor. Dikkate değer olaylar şunları içerir:
- Nisan 2025’te Panama Hükümeti çapında bir keşif dalgası, ABD diplomatik katılımlarını takiben 30’dan fazla bakanı taradı.
- Aralık 2024, Çin’in adanın etrafındaki askeri egzersizleri sırasında Tayvan Hava Kuvvetleri ile ilgili altyapıyı hedefleyen faaliyet.
- Port taramalarına ve VPN’den yararlanan birden fazla ABD DIB ve uzay araştırma kuruluşu.
- Sonicwall SSL VPN ve F5 Big-IP cihazları aracılığıyla Tayvanlı bir BT şirketi ve İngiltere merkezli savunma yüklenicilerinden ödün veriyor.
Hafifletme
Kuruluşlar, Pantegana ve Sparkrat C2 alanlarını gerçek zamanlı olarak tespit etmek için tehdit istihbaratını entegre etmeli, çevre cihazlarındaki yüksek riskli RCE güvenlik açıklarının yamalanmasına öncelik vermeli ve VPN ve güvenlik duvarı yönetimi arayüzleri üzerinde katı erişim kontrollerini zorlamalıdır.
ABD yatırım şirketi Blackrock ve MSC (Mediterranean nakliye şirketi) liderliğindeki bir konsorsiyuma iki limanı içeren satış konusunda bir anlaşma, Nisan 2025’in ilk haftasında imzalanacak.
Ağ segmentasyonu, çok faktörlü kimlik doğrulaması ve kenar cihazlarında geliştirilmiş günlüğe kaydetme, sömürü sonrası faaliyetleri tespit etmek ve yanıtlamak için kritiktir.
Rednovember’in coğrafyalar ve sektörler arasında devam eden genişlemesi, internete bakan cihazlarda kalıcı güvenlik açıklarının altını çiziyor.
Açık kaynaklı çerçevelere güvenmesi, kampanyaların hızlı bir şekilde ölçeklendirilmesini sağlarken, emtia araçlarına aralıklı değişimler esnek bir operasyonel duruş olduğunu göstermektedir.
Yeni istismarlar ortaya çıkan ve POC kodu kolayca mevcutken, Rednovember-ve benzer devlet destekli aktörler-Edge cihazlarının agresif hedeflemesini sürdürmeye hazırdır. Dikkatli bir savunma stratejisi, gelecekteki müdahaleleri önlemek için gerekli olacaktır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.