تسلل القراصنة الصينيين RedNovember إلى الحكومات العالمية باستخدام Pantegana وCobalt Strike
24 سبتمبر 2025رافي لاكشمانان، ثغرات / أمان الشبكات
تم تقييم مجموعة من الأنشطة الإلكترونية المشتبه بها في التجسس، والتي تم العثور عليها سابقًا تستهدف الحكومات العالمية ومنظمات القطاع الخاص في أفريقيا وآسيا وأمريكا الشمالية وأمريكا الجنوبية وأوقيانوسيا، على أنها تهديد مدعوم من الدولة الصينية.
قامت Recorded Future، التي كانت تتعقب النشاط تحت اسم TAG-100، بترقيته الآن إلى مجموعة قرصنة تُعرف باسم RedNovember. كما تتعقبها مايكروسوفت تحت اسم Storm-2077.
“بين يونيو 2024 ويوليو 2025، استهدفت RedNovember (التي تتداخل مع Storm-2077) أجهزة المحيط الخارجي لمنظمات بارزة عالميًا واستخدمت الباب الخلفي المستند إلى Go Pantegana وCobalt Strike كجزء من عملياتها”، وفقًا لتقرير مشترك مع The Hacker News.
“لقد وسعت المجموعة نطاق استهدافها ليشمل منظمات حكومية وخاصة، بما في ذلك منظمات الدفاع والفضاء، ومنظمات الفضاء، وشركات المحاماة.”
تشمل الضحايا المحتملين الجدد للتهديد وزارة الخارجية في وسط آسيا، ومنظمة أمن الدولة في أفريقيا، ومديرية حكومية أوروبية، وحكومة في جنوب شرق آسيا. يُعتقد أيضًا أن المجموعة قد اخترقت على الأقل اثنين من مقاولي الدفاع الأمريكيين، وصانع محركات أوروبي، وهيئة تعاون حكومية تركز على التجارة في جنوب شرق آسيا.
تم توثيق RedNovember لأول مرة من قبل Recorded Future قبل أكثر من عام، حيث تم تفصيل استخدامها لإطار العمل Pantegana بعد الاستغلال وSpark RAT بعد استغلال الثغرات الأمنية المعروفة في عدة أجهزة محيطية متصلة بالإنترنت من Check Point (CVE-2024-24919)، Cisco، Citrix، F5، Fortinet، Ivanti، Palo Alto Networks (CVE-2024-3400)، وSonicWall للوصول الأولي.
يعكس التركيز على استهداف حلول الأمان مثل VPNs، وجدران الحماية، وموازين الحمل، والبنية التحتية الافتراضية، وخوادم البريد الإلكتروني اتجاهًا تم اعتماده بشكل متزايد من قبل مجموعات القرصنة المدعومة من الدولة الصينية الأخرى لاختراق الشبكات ذات الأهمية والحفاظ على الاستمرارية لفترات طويلة.
جانب ملحوظ من تقنيات التهديد هو استخدام Pantegana وSpark RAT، وكلاهما أدوات مفتوحة المصدر. من المحتمل أن يكون هذا التبني محاولة لإعادة استخدام البرامج الموجودة لصالحهم وإرباك جهود النسبة، وهو سمة من سمات الفاعلين في التجسس.
تشمل الهجمات أيضًا استخدام نسخة من محمل Go المتاح للجمهور LESLIELOADER لإطلاق Spark RAT أو Cobalt Strike Beacons على الأجهزة المخترقة.
تُقال إن RedNovember تستخدم خدمات VPN مثل ExpressVPN وWarp VPN للإدارة والاتصال بمجموعتين من الخوادم المستخدمة لاستغلال الأجهزة المتصلة بالإنترنت والتواصل مع Pantegana وSpark RAT وCobalt Strike، وهو برنامج شرعي تم إساءة استخدامه بشكل واسع من قبل المهاجمين.
بين يونيو 2024 ومايو 2025، كانت جهود استهداف مجموعة القرصنة تركز بشكل كبير على بنما والولايات المتحدة وتايوان وكوريا الجنوبية. كما تم العثور عليها مؤخرًا في أبريل 2025 تستهدف أجهزة Ivanti Connect Secure المرتبطة بصحيفة ومقاول هندسي وعسكري، وكلاهما مقره في الولايات المتحدة.
قالت Recorded Future إنها حددت أيضًا أن الخصم يستهدف على الأرجح بوابات Microsoft Outlook Web Access (OWA) التابعة لدولة في أمريكا الجنوبية قبل زيارة الدولة لتلك الدولة إلى الصين.
“لقد استهدفت RedNovember تاريخيًا مجموعة متنوعة من الدول والقطاعات، مما يشير إلى متطلبات استخبارات واسعة ومتغيرة”، لاحظت الشركة. “لقد ركزت أنشطة RedNovember حتى الآن بشكل أساسي على عدة جغرافيات رئيسية، بما في ذلك الولايات المتحدة وجنوب شرق آسيا ومنطقة المحيط الهادئ وأمريكا الجنوبية.”
<a href="https://thehackernews.com/2025/09/chinese-hackers-rednovember-target.html">رابط المقال</a>
