كشفت شركة Recorded Future عن تصعيد نشاط مجموعة تجسس سيبراني مدعومة من الصين تُعرف باسم RedNovember (وتتداخل مع Storm-2077 وفق تصنيف مايكروسوفت)، والتي استهدفت منذ يونيو 2024 وحتى يوليو 2025 أجهزة محيطية لدى مؤسسات حكومية وخاصة في قارات عدة، مستخدمة أدوات متطورة أبرزها الباب الخلفي Pantegana وأداة الاختراق Cobalt Strike.
توسع في استهداف الحكومات والقطاعات الحساسة
بحسب التقرير، طالت الهجمات وزارات خارجية في آسيا الوسطى، أجهزة أمنية في إفريقيا، مديرية حكومية أوروبية، وحكومات في جنوب شرق آسيا. كما يشتبه في اختراق المجموعة لشركتين دفاعيتين أميركيتين، ومصنّع محركات أوروبي، وهيئة تعاون حكومية معنية بالتجارة في آسيا. وامتد النشاط أيضًا إلى استهداف قطاعات الدفاع والفضاء، مؤسسات فضائية، وشركات قانونية.
استغلال ثغرات الأجهزة المحيطية
اعتمدت RedNovember في الوصول الأولي على استغلال ثغرات حرجة في أجهزة متصلة بالإنترنت مثل حلول Check Point (CVE-2024-24919)، Palo Alto Networks (CVE-2024-3400)، بالإضافة إلى منتجات من Cisco وCitrix وFortinet وIvanti وF5 وSonicWall. ويمثل استهداف أدوات مثل VPNs وجدران الحماية وخوادم البريد والبنية الافتراضية نمطًا متزايدًا بين مجموعات التجسس الصينية لاختراق شبكات حساسة والبقاء داخلها لفترات طويلة.
أدوات مفتوحة المصدر لتضليل التتبع
تتميز المجموعة باستخدامها أطرًا وأدوات مفتوحة المصدر مثل Pantegana وSpark RAT، إضافة إلى LESLIELOADER، لإطلاق برمجيات خبيثة مثل Spark RAT أو منارات Cobalt Strike. وتهدف هذه الاستراتيجية إلى إعادة توظيف برمجيات متاحة للجميع وإرباك عمليات الإسناد الرقمي. كما تعتمد على خدمات VPN تجارية مثل ExpressVPN وWarp VPN لإدارة البنية التحتية للهجوم وإخفاء مواقعها.
أهداف استراتيجية واعتبارات استخباراتية
تركزت الهجمات خلال الفترة بين يونيو 2024 ومايو 2025 على بنما، الولايات المتحدة، تايوان، وكوريا الجنوبية، مع استهداف حديث لأجهزة Ivanti تابعة لصحيفة أميركية ومقاول عسكري. كما رُصدت محاولات لاختراق بوابات Outlook Web Access لدولة في أميركا الجنوبية قبل زيارتها الرسمية إلى الصين.
وأكد التقرير أن أنشطة RedNovember تُظهر تنوعًا جغرافيًا وقطاعيًا واسعًا، ما يعكس متطلبات استخباراتية متغيرة تشمل الأمن القومي، التجارة الدولية، والملفات الدفاعية.
