RedNovember, az “új” kínai kiberszereplő
2024 júliusában az Insikt Group nyilvánosan beszámolt a TAG-100-ról, egy kiberszereplőről, amely a gyanú szerint kiberkémkedési tevékenységet folytatott világszerte magas rangú kormányzati, kormányközi és magánszektorbeli szervezetek ellen, az open source, több platformon futó Go backdoor-ral, a Pantegana-val. Az Insikt Group akkor nem tulajdonította a tevékenységet egy adott országnak, azonban az összes rendelkezésre álló bizonyíték áttekintése után úgy értékelik, hogy a TAG-100 nagy valószínűséggel egy kínai államilag támogatott kiberszereplő. Ennek megfelelően az Insikt Group mostantól RedNovember néven követi nyomon ezt a csoportot.
2024 június és 2025 július között a RedNovember (amely átfedésben van a Storm-2077-tel) világszerte magas rangú szervezetek peremhálózatát vette célba, és a behatolásokhoz a Go-alapú Pantegana backdoor-t és a Cobalt Strike-ot használta. A csoport kiterjesztette célpontjait kormányzati és magánszektorbeli szervezetekre, beleértve védelmi és űrhajózási szervezeteket, valamint ügyvédi irodákat.
Az Insikt Group szerint a RedNovember felderítette és valószínűleg kompromittálta a kezdeti hozzáféréshez szükséges perifériákat, többek között SonicWall, Cisco Adaptive Security Appliance (ASA), F5 BIG-IP, Palo Alto Networks GlobalProtect, Sophos SSL VPN és Fortinet FortiGate eszközöket, valamint Outlook Web Access (OWA) példányokat és az Ivanti Connect Secure (ICS) VPN eszközöket.
A RedNovember proof-of-concept (PoC) exploitokat kombinál nyílt forráskódú, post-exploitation keretrendszerekkel, ami alacsonyabb belépési korlátot jelent a kevésbé képzett kiberszereplők számára. Ez lehetővé teszi a fejlettebb csoportok számára is, hogy ne egyedi eszközöket használjanak az olyan műveletek során, amelyekben kevésbé aggódnak a tevékenységük felfedése miatt.
