Um grupo suspeito de ciberespionagem, anteriormente identificado como responsável por ataques a organizações governamentais e do setor privado em África, Ásia, América do Norte, América do Sul e Oceania, foi agora atribuído a um ator estatal chinês.
A empresa Recorded Future, que monitorava essa atividade sob o codinome TAG-100, reclassificou o grupo como RedNovember.
A Microsoft também acompanha o mesmo grupo com a designação Storm-2077.
Segundo um relatório compartilhado com o The Hacker News pela empresa controlada pela Mastercard, entre junho de 2024 e julho de 2025, o RedNovember (com sobreposição ao Storm-2077) focou ataques em appliances de perímetro de organizações de alto perfil ao redor do mundo.
Para isso, utilizou o backdoor baseado em Go chamado Pantegana, além de Cobalt Strike, ferramentas essenciais para suas invasões.
O grupo ampliou seu escopo, atingindo instituições de governo e empresas privadas, especialmente nos setores de defesa, aeroespacial, órgãos espaciais e escritórios de advocacia.
Entre as possíveis vítimas recentes estão um ministério de relações exteriores da Ásia Central, uma agência de segurança estatal na África, uma diretoria governamental europeia e um governo do Sudeste Asiático.
Acredita-se também que o RedNovember tenha invadido ao menos dois contratantes de defesa dos Estados Unidos, um fabricante europeu de motores e um organismo intergovernamental focado em comércio na região do Sudeste Asiático.
O RedNovember foi documentado pela primeira vez pela Recorded Future há mais de um ano.
Naquela ocasião, foram detalhadas suas operações com o framework pós-exploração Pantegana e o Spark RAT, aproveitando falhas conhecidas em appliances de perímetro conectados à internet, de fabricantes como Check Point (
CVE-2024-24919
), Cisco, Citrix, F5, Fortinet, Ivanti, Palo Alto Networks (
CVE-2024-3400
) e SonicWall para obter acesso inicial.
A escolha por atacar soluções de segurança, como VPNs, firewalls, balanceadores de carga, infraestrutura de virtualização e servidores de email, segue uma tendência crescente entre atores patrocinados pelo Estado chinês.
Esses atacantes buscam infiltrar redes estratégicas e manter a persistência por longos períodos.
Um ponto marcante do modus operandi do grupo é o uso das ferramentas open-source Pantegana e Spark RAT.
Tal estratégia sugere o reaproveitamento de programas já existentes para dificultar a atribuição e confundir os investigadores, prática comum em operações de espionagem.
Os ataques também envolvem o uso de uma variante do loader LESLIELOADER, desenvolvido em Go e disponível publicamente, para lançar o Spark RAT ou os Beacons do Cobalt Strike em dispositivos comprometidos.
Além disso, o RedNovember utiliza serviços de VPN como ExpressVPN e Warp VPN para gerenciar dois conjuntos de servidores.
Esses servidores são usados tanto para explorar dispositivos expostos na internet quanto para se comunicar com Pantegana, Spark RAT e Cobalt Strike, este último um software legítimo largamente abusado por cibercriminosos.
Entre junho de 2024 e maio de 2025, o grupo concentrou seus esforços de ataque principalmente em Panamá, Estados Unidos, Taiwan e Coreia do Sul.
Em abril de 2025, por exemplo, foram detectados ataques a appliances Ivanti Connect Secure ligados a um jornal e a uma empresa de engenharia e defesa, ambas nos EUA.
A Recorded Future também identificou que o grupo provavelmente mirou portais Microsoft Outlook Web Access (OWA) de um país da América do Sul pouco antes da visita oficial desse país à China.
“Historicamente, o RedNovember tem como alvo um amplo espectro de países e setores, indicando requisitos de inteligência diversificados e em evolução”, destacou a empresa.
“Até o momento, suas principais áreas de atuação são os EUA, Sudeste Asiático, região do Pacífico e América do Sul.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...