Chiến dịch RedNovember: Tin tặc Trung Quốc đứng sau loạt tấn công vào chính phủ và doanh nghiệp

[CyberThao]

RedNovember bị nghi do nhà nước Trung Quốc tài trợ​

Một nhóm gián điệp mạng được cho có liên hệ với nhà nước Trung Quốc đã nhắm mục tiêu vào nhiều cơ quan chính phủ và doanh nghiệp lớn trên khắp Châu Phi, Châu Á, Bắc Mỹ, Nam Mỹ và Châu Đại Dương.

Recorded Future theo dõi nhóm này với tên TAG-100, nay xác định rõ hơn và đặt tên là RedNovember. Microsoft cũng gọi nhóm này là Storm-2077.

Từ tháng 6/2024 đến tháng 7/2025, RedNovember đã khai thác các thiết bị ngoại vi để xâm nhập, sử dụng cửa hậu Pantegana và Cobalt Strike viết bằng Go. Mục tiêu bao gồm tổ chức quốc phòng, hàng không vũ trụ, cơ quan an ninh quốc gia, bộ ngoại giao, ban quản lý chính phủ, thậm chí cả nhà thầu quốc phòng Mỹ và một số công ty châu Âu.

Recorded Future cho biết RedNovember đã từng khai thác lỗ hổng trong nhiều sản phẩm nổi tiếng như Check Point (CVE-2024-24919), Cisco, Citrix, F5, Fortinet, Ivanti, Palo Alto Networks (CVE-2024-3400) và SonicWall để xâm nhập ban đầu. Nhóm này tập trung mạnh vào VPN, tường lửa, bộ cân bằng tải, máy chủ email và hạ tầng ảo hóa – những điểm yếu then chốt để duy trì hiện diện lâu dài.

Công cụ tấn công và phạm vi hoạt động​

Điểm nổi bật trong cách hoạt động của RedNovember là tận dụng công cụ mã nguồn mở như Pantegana và Spark RAT, giúp chúng tái sử dụng công cụ sẵn có, gây khó khăn cho việc truy vết. Chúng cũng dùng biến thể trình tải công khai LESLIELOADER để khởi chạy Spark RAT hoặc Cobalt Strike trên các thiết bị bị chiếm quyền.

RedNovember quản lý hạ tầng bằng cách sử dụng VPN thương mại như ExpressVPN và Warp VPN, kết nối tới hệ thống máy chủ khai thác và điều khiển. Cobalt Strike – một công cụ hợp pháp thường bị lạm dụng – cũng nằm trong kho vũ khí của nhóm.

Từ tháng 6/2024 đến tháng 5/2025, phần lớn hoạt động nhắm vào Panama, Hoa Kỳ, Đài Loan và Hàn Quốc. Tháng 4/2025, nhóm này khai thác lỗ hổng Ivanti Connect Secure để tấn công một tờ báo và một nhà thầu quân sự Mỹ. Recorded Future còn phát hiện RedNovember tìm cách nhắm tới cổng Outlook Web Access (OWA) của một quốc gia Nam Mỹ ngay trước chuyến thăm cấp nhà nước của quốc gia đó tới Trung Quốc.

Recorded Future nhận định: “RedNovember trước đây đã nhắm mục tiêu nhiều quốc gia và lĩnh vực khác nhau, thể hiện nhu cầu tình báo rộng và liên tục thay đổi. Hoạt động của nhóm chủ yếu tập trung vào Mỹ, Đông Nam Á, khu vực Thái Bình Dương và Nam Mỹ.”

Đọc chi tiết tại đây: https://thehackernews.com/2025/09/chinese-hackers-rednovember-target.html

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview