Um grupo de hackers com suspeita de envolvimento em atividades de espionagem cibernética, anteriormente conhecido por atacar organizações governamentais e do setor privado em todo o mundo, com alvos na África, Ásia, América do Norte, América do Sul e Oceania, foi oficialmente classificado como um invasor patrocinado pelo Estado chinês.

A empresa de segurança cibernética Recorded Future, que inicialmente rastreava a atividade sob o nome TAG-100, transferiu agora a sua nomenclatura para o grupo de hackers conhecido como RedNovember.

O mesmo grupo também é monitorado pela Microsoft sob a designação Storm-2077. De acordo com um relatório da Recorded Future (propriedade da Mastercard), entre junho de 2024 e julho de 2025, o RedNovember atacou dispositivos de perímetro de organizações de alto perfil internacionalmente, utilizando o backdoor baseado em Go chamado Pantegana e a ferramenta legítima Cobalt Strike como parte de suas intrusões.

O grupo expandiu significativamente seu escopo, visando entidades governamentais, organizações de defesa e aeroespacial, organizações espaciais e escritórios de advocacia.

Alvos de Alto Valor e Táticas de Invasão

Entre as prováveis novas vítimas do hacker, estão um Ministério das Relações Exteriores da Ásia Central, uma organização de segurança estatal na África, uma diretoria governamental europeia e um governo do Sudeste Asiático. O RedNovember também é suspeito de ter invadido pelo menos duas empresas de defesa dos Estados Unidos (EUA), um fabricante europeu de motores e um organismo de cooperação intergovernamental focado em comércio no Sudeste Asiático.

O grupo é conhecido por sua especialização em explorar falhas de segurança (CVEs) amplamente conhecidas em diversos dispositivos de perímetro voltados para a Internet — como VPNs, firewalls, balanceadores de carga e servidores de e-mail — fabricados por empresas como Check Point (CVE-2024-24919), Palo Alto Networks (CVE-2024-3400), Cisco, Citrix, F5, Fortinet, Ivanti e SonicWall. Após a invasão inicial, o grupo utiliza a estrutura de pós-exploração Pantegana e o Spark RAT (Remote Access Trojan) para manter a persistência nas redes.

Este foco em soluções de segurança de perímetro reflete uma tática cada vez mais adotada por outros grupos hackers patrocinados pelo Estado chinês, permitindo-lhes acessar redes de interesse e permanecerem indetectáveis por longos períodos.

Uma tática notável é o uso de ferramentas de código aberto como o Pantegana e o Spark RAT. Essa adoção é vista como uma tentativa de desviar programas existentes para seu próprio benefício e dificultar os esforços de atribuição, uma tática clássica de agentes de espionagem. Os ataques também empregam uma variante do carregador baseado em Go, o LESLIELOADER, para lançar o Spark RAT ou Beacons do Cobalt Strike nos dispositivos comprometidos.

O RedNovember usa ainda serviços de VPN como ExpressVPN e Warp VPN para se conectar e administrar seus servidores, que são usados tanto para a exploração inicial de dispositivos quanto para a comunicação com as ferramentas maliciosas.

Entre junho de 2024 e maio de 2025, a maior parte dos ataques do grupo concentrou-se no Panamá, EUA, Taiwan e Coreia do Sul. O invasor demonstrou uma capacidade de adaptação, sendo visto em abril de 2025 atacando dispositivos Ivanti Connect Secure ligados a um jornal e a uma empresa de engenharia e militar, ambos sediados nos EUA. Além disso, a Recorded Future identificou o adversário provavelmente mirando portais do Microsoft Outlook Web Access (OWA) pertencentes a um país sul-americano, antes de uma visita de Estado daquele país à China.

"Historicamente, a RedNovember tem como alvo uma gama diversificada de países e setores, o que sugere requisitos de inteligência amplos e mutáveis," afirmou a Recorded Future. "Até o momento, a atividade da RedNovember se concentrou principalmente em diversas regiões geográficas importantes, incluindo os EUA, o Sudeste Asiático, a região do Pacífico e a América do Sul."

A diversidade dos alvos destaca a amplitude das operações de espionagem cibernética patrocinadas pela China, buscando informações estratégicas em uma variedade de setores críticos e regiões geopolíticas.

Via - THN