Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, ağ güvenlik duvarları, ağ erişim kontrolü
‘Rednovember’ ABD, Asya ve Avrupa’daki organizasyonları hackledi
Akhabokan Akan (Athokan_akhsha) •
25 Eylül 2025
Siber güvenlik firması geleceği kaydetti, Edge cihazlarının yaygın olarak uzlaşmasıyla ilişkili bir hack grubu Çin devletine uyumlu bir gruptur.
Ayrıca bakınız: Corelight’ın Brian Dye NDR’nin Fidye Yazılımı Yenilmesinde Rolü
Firma, Tehdit Oyuncularını Temmuz 2024’te TAG100 olarak izleyerek gördü. Grubun en son faaliyetlerinin ve taktiklerinin analizine dayanarak, kaydedilen gelecek, şimdi Rednovember olarak izlediği grubun “büyük olasılıkla Çin devlet destekli bir tehdit grubu” olduğunu söylüyor.
Kayıtlı Future’s Insikt Grubu Ulusal Güvenlik ve İstihbarat Lideri Alexander Leslie, “Rednovember, Pekin’in jeopolitik hedefleri ve askeri hazırlığı ilerletmek, Panama Kanalı gibi stratejik kritik alanlarda istihbarat koleksiyonunu ve baskısını korumak için bir güç çarpanı olarak siber operasyonlardan yararlanma stratejisini yansıtıyor.” Dedi.
Rednovember, ABD Savunma Sekreteri Pete Hegseth’in ülkeyi ziyareti sırasında Nisan ayında 30 Panama organizasyonunu hedef aldı. Benzer şekilde, grubun hackleme faaliyetleri Aralık 2024’te tespit edilirken, Çin Tayvan çevresinde sürpriz bir askeri egzersiz gerçekleştirdi.
Grup, Google Mandiant tarafından UNC5266 olarak izlenen başka bir Çinli grupla ilişkili kötü amaçlı yazılım altyapısı kullanıyor ve bu da kötü amaçlı yazılım altyapısında örtüşmeyi gösteriyor. Çinli bilgisayar korsanları genellikle taktikleri ve araçları paylaşıyor (bakınız: Çinli bilgisayar korsanlarının vandallardan stratejistlere evrimi).
Rednovember ayrıca Çinli ve diğer hackerlar için ortak bir hedef olan Edge cihazlarından ödün vermeye odaklandı. Google Mantiant’ın UNC3886 ve UNC4841 olarak izlediği Çin hack grupları da kurumsal ağlara bir ağ geçidi olarak kenar cihazlarının iyilikleridir (bakınız: State Hacker’ların Yeni Frontier: Network Edge Cihazı).
Geçen yıldan beri Rednovember, Cisco Adaptive Güvenlik Cihazı, F5 Big-IP, Palo Alto Networks, Sophos SSL VPN ve Fortinet cihazları dahil olmak üzere çoklu kenar cihazlarından ödün verdi. Ayrıca, yazılım tabanlı iletişim ve işbirliği platformlarını 3CX, Zimbra ve Outlook Web erişimini hedefledi.
Taktikler ayrıca grubun, savunma ve havacılık örgütleri, ABD, Panama, Asya ve Avrupa’daki hukuk firmaları da dahil olmak üzere hedeflerini hükümet ve özel sektör kuruluşlarına genişletmesine izin verdi.
Leslie, “İnternete bakan cihazlardan sistematik olarak yararlanarak, birçok geleneksel savunmayı atlıyorlar ve hassas ağlara kalıcı erişim yaratıyorlar.” Dedi.
İhlal edilen bir ağa girdikten sonra, grup kavram kanıtı istismarlarını, şaşkınlık yetenekleriyle birlikte gelen açık kaynaktan dolayı pantegana ile birleştirir. Grup ayrıca Leslieloader adlı bir GO yüküne güveniyor.
GO varyantları Windows, Linux ve OSX ile uyumludur. Enfekte ana bilgisayarlarla dosya yüklemesini ve indirilmesini, sistem parmak izini ve doğrudan komut satırı etkileşimini desteklerler.
Grubun açık kaynaklı araçları kullanması, Çin devletine hizalanmış bilgisayar korsanlarının nasıl yüksek değerli casusluk elde etmek için “düşük maliyetli, ölçeklenebilir araçlar kullandıklarının” en iyi örneğidir.