Il gruppo di hacker RedNovember, sponsorizzato dallo stato cinese, è stato recentemente identificato come una delle principali minacce per la sicurezza informatica globale. Secondo i ricercatori, tra giugno 2024 e luglio 2025 RedNovember ha condotto campagne di cyber spionaggio contro organizzazioni governative e del settore privato in Africa, Asia, Nord America, Sud America e Oceania. Il gruppo è noto anche come Storm-2077 nei tracciamenti di Microsoft.

RedNovember si è distinto per aver preso di mira dispositivi di rete esposti su internet, sfruttando vulnerabilità note in appliance di sicurezza prodotti da vendor come Check Point, Cisco, Citrix, F5, Fortinet, Ivanti, Palo Alto Networks e SonicWall. Queste vulnerabilità hanno permesso l’accesso iniziale alle reti bersaglio, soprattutto attraverso VPN, firewall, bilanciatori di carico, infrastrutture di virtualizzazione e server email, secondo una tendenza sempre più diffusa tra i gruppi di cyber spionaggio cinesi.

Strumenti e tecniche utilizzati

Un elemento chiave delle operazioni di RedNovember è l’uso di strumenti open source come Pantegana e Spark RAT. Questi strumenti facilitano il post-exploitation e la persistenza nelle reti compromesse, rendendo più difficile attribuire con precisione le attività malevole. In particolare, Pantegana, sviluppato in Go, viene impiegato insieme a Cobalt Strike, una piattaforma legittima spesso abusata per il controllo remoto dei sistemi infetti. Gli attaccanti utilizzano anche varianti del loader LESLIELOADER per installare Spark RAT o avviare Beacon di Cobalt Strike.

Obiettivi e vittime

RedNovember ha ampliato i propri obiettivi includendo enti governativi, aziende della difesa e dell’aerospazio, organizzazioni spaziali e studi legali. Tra le vittime più recenti figurano un ministero degli affari esteri in Asia centrale, un’agenzia di sicurezza africana, una direzione governativa europea e una cooperazione intergovernativa asiatica. Sono stati colpiti anche almeno due contractor della difesa statunitense e un produttore europeo di motori.

Tattiche di evasione e geografia degli attacchi

Il gruppo si serve di servizi VPN come ExpressVPN e Warp VPN per gestire le comunicazioni coi server di comando e controllo, complicando ulteriormente l’attribuzione delle attività. Gli analisti sottolineano che RedNovember adatta costantemente la propria strategia per rispondere a esigenze di intelligence mutevoli, con una particolare attenzione verso Stati Uniti, Sud-est asiatico, Pacifico e Sud America. Gli attacchi recenti includono anche tentativi di compromissione dei portali Microsoft Outlook Web Access di Paesi sudamericani in concomitanza con visite statali in Cina.