RedNovember Targets Government, Defense, and Technology Organizations

Note : La date limite d'analyse pour ce rapport était le 25 juillet 2025.

Executive Summary

En juillet 2024, Insikt Group a publié un rapport sur TAG-100, un groupe d'activité menant des activités présumées de cyber-espionnage ciblant des organisations gouvernementales, intergouvernementales et privées de premier plan dans le monde entier à l'aide de la porte dérobée Go Pantegana à source ouverte et multiplateforme. À l'époque, nous n'avions pas attribué cette activité à un pays en particulier ; cependant, après avoir examiné tous les éléments disponibles, nous estimons que TAG-100 est très probablement un groupe d'activité de menace parrainé par l'État chinois. En conséquence, Insikt Group suit désormais ce groupe sous l'appellation RedNovember.

Entre juin 2024 et juillet 2025, RedNovember (qui coïncide avec Storm-2077) a ciblé des appareils de périmètre d'organisations de premier plan à l'échelle mondiale et a utilisé les portes dérobées Go-based Pantegana et Cobalt Strike dans le cadre de ses intrusions. Le groupe a élargi son champ d'action aux organisations gouvernementales et privées, y compris les organisations de défense et d'aérospatiale, les organisations spatiales et les cabinets d'avocats.

En utilisant Recorded Future Network Intelligence, Insikt Group a identifié de nouvelles victimes probables, dont un ministère des affaires étrangères en Asie centrale, une organisation de sécurité d'État en Afrique, une direction d'un gouvernement européen et un gouvernement d'Asie du Sud-Est. RedNovember a également compromis au moins deux entreprises de défense américaines, un fabricant de moteurs européen et un organisme de coopération intergouvernementale axé sur le commerce en Asie du Sud-Est.

Nous avons observé RedNovember en train de reconnaître et probablement de compromettre des dispositifs de périphérie pour un accès initial, y compris SonicWall, Cisco Adaptive Security Appliance (ASA), F5 BIG-IP, Palo Alto Networks GlobalProtect, Sophos SSL VPN, et des instances Fortinet FortiGate, ainsi que des instances Outlook Web Access (OWA) et des appliances Ivanti Connect Secure (ICS) VPN.

L'activité de RedNovember illustre la capacité à combiner des exploits de validation de concept (PoC) militarisés avec des cadres de post-exploitation open-source tels que Pantegana, abaissant ainsi la barrière d'entrée pour les acteurs moins compétents en matière de menaces. Il permet également aux groupes de niveau supérieur de s’abstenir d’utiliser des outils personnalisés pendant les opérations dans lesquelles ils sont moins préoccupés par la détection ou dans lesquelles une obfuscation accrue de l’attribution est souhaitable.

Insikt Group a suivi des procédures de divulgation responsable avant cette publication, conformément à la politique de notification de Recorded Future.

Key Findings

• RedNovember continue de s'appuyer sur des structures de commandement et de contrôle (C2) (Pantegana et Cobalt Strike) et sur des portes dérobées à code source ouvert (SparkRAT) pour ses opérations.
• Le groupe de menace a considérablement élargi son ciblage, notamment en menant des tentatives de spearphishing et d'exploitation de vulnérabilités contre des entités de la base industrielle de défense américaine (DIB) et des organisations spatiales en Europe.
• Au moins une partie des activités de RedNovember observées par Insikt Group, notamment à Taïwan et au Panama, se sont déroulées à proximité d'événements géopolitiques et militaires d'un intérêt stratégique majeur pour la Chine.
• RedNovember a également de plus en plus concentré ses efforts d'accès initial sur le ciblage des appareils périphériques, y compris les solutions de sécurité telles que les VPN, les pare-feu, les équilibreurs de charge, l'infrastructure de virtualisation et les serveurs de messagerie.
• En avril 2025, le groupe de menace a mené une campagne de reconnaissance et de ciblage des dispositifs VPN Ivanti Connect Secure (ICS) dans plusieurs pays. Parmi les cibles spécifiques figuraient un grand journal américain et un entrepreneur américain spécialisé dans le domaine de l'ingénierie et de la défense.

Background

RedNovember (anciennement TAG-100 et chevauchant Storm-2077) est un groupe de cyber-espionnage parrainé par l'État chinois qui utilise des outils open-source et exploite des dispositifs connectés à Internet pour cibler des organisations gouvernementales, intergouvernementales et du secteur privé dans le monde entier. Insikt Group a déjà publié un rapport sur l'utilisation par RedNovember de la porte dérobée multiplateforme Pantegana basée sur Go et d'autres outils de sécurité offensifs, notamment Cobalt Strike et SparkRAT, associés à l'exploitation de dispositifs périmétriques, pour mener des activités de reconnaissance, d'accès initial et de compromission probable.

L'utilisation stratégique par RedNovember de capacités open-source permet au groupe de menace de réduire les coûts opérationnels et d'obscurcir l'attribution, une tactique qui s'aligne sur les tendances plus larges de cyber-espionnage parrainé par l'État que l'Insikt Group a observées. La combinaison d'exploits de démonstration de concept (PoC) et d'outils open-source permet à RedNovember d'opérer à grande échelle. L'activité de RedNovember met en évidence les vulnérabilités persistantes des dispositifs périmétriques, qui restent un vecteur de risque important en raison d'une visibilité et de capacités d'enregistrement limitées.

RedNovember est l'un des nombreux autres groupes de menace parrainés par l'État chinois qui parviennent de plus en plus souvent à accéder à des cibles en ciblant les vulnérabilités des dispositifs connectés à Internet, y compris les produits de sécurité. Le ciblage des appareils connectés à Internet s'est avéré être un moyen efficace pour les groupes de menaces parrainés par l'État chinois d'étendre leur accès initial et de prendre pied dans un grand nombre d'organisations avant de mener des activités de suivi plus ciblées.

Analyse technique

Depuis notre premier rapport public sur ses activités, RedNovember a continué à utiliser le cadre C2 de Pantegana et Cobalt Strike dans le cadre de ses activités d'intrusion. D'après notre visibilité et notre collecte, RedNovember continue très probablement à utiliser ExpressVPN pour administrer ses serveurs et peut, avec une probabilité réaliste, avoir commencé à utiliser d'autres VPN tels que Warp VPN pour se connecter à distance à son infrastructure.

Figure 1: Aperçu des opérations de RedNovember (Source : Recorded Future)

En surveillant les serveurs C2 actifs de RedNovember, Insikt Group a observé un certain nombre de victimes à l'échelle mondiale dans les secteurs public et privé, mais concentrées dans les secteurs verticaux suivants : aérospatiale et défense, gouvernement et services professionnels.

Outre les activités de compromission présumées de RedNovember, nous avons observé d'autres communications réseau entre de multiples organisations et des serveurs C2 associés à RedNovember, reflétant probablement, au minimum, une activité de navigation générale et potentiellement des efforts de reconnaissance de la part du groupe de menace. Bien que l'activité puisse indiquer une intention de compromission, dans ces cas, il n'y a pas de preuves suffisantes pour parvenir à une telle conclusion.

Les termes "compromission", "ciblage", "reconnaissance" et "navigation sur le site" " sont utilisés spécifiquement dans le présent rapport pour préciser le type d'activité observée. Par exemple, lorsque nous estimons que RedNovember a compromis une entité, nous utiliserons des termes tels que "compromission" et "victime".

VictimologyCiblage et reconnaissance

Entre S2 2024 et S2 2025, RedNovember a compromis, ciblé et reconnu des organisations à l'échelle mondiale. RedNovember a notamment ciblé des organisations aux États-Unis, à Taïwan et en Corée du Sud et, en avril 2025, il a concentré sa reconnaissance sur plus de 30 organisations du gouvernement panaméen.

Figure 2: Cartographie des pays dont les organisations ont été compromises ou ciblées par RedNovember (Source : Recorded Future)

Ciblage d'entités gouvernementales, intergouvernementales et diplomatiques

RedNovember a ciblé des organisations gouvernementales et diplomatiques dans de nombreux pays, ainsi que des organisations intergouvernementales. Insikt Group a identifié le ciblage probable de portails Outlook Web Access (OWA) appartenant à un pays d'Amérique du Sud avant la visite d'État de ce pays en Chine. Une activité similaire de RedNovember a été observée ciblant les portails OWA appartenant aux ministères des Affaires étrangères d’Asie du Sud-Est et d’Amérique du Sud.

Depuis au moins la mi-2024, RedNovember a très probablement compromis les cibles suivantes :

• Une instance client web 3CX associée au ministère en charge des musées dans un pays d’Europe occidentale
• Un serveur Zimbra Collaboration Suite associé à un pays d’Asie du Sud-Est
• Un appareil Fortinet FortiGate probablement associé au ministère des affaires étrangères d'un pays d'Asie de l'Est.
• Un routeur Huawei probablement associé à un gouvernement d'Asie du Sud-Est
• L'appliance Cisco ASA d'un gouvernement africain

Insikt Group a également observé des communications suggérant une compromission de longue durée d'une organisation intergouvernementale basée en Asie du Sud-Est, au moins jusqu'en mars 2025. D'autres acteurs de la menace parrainés par l'État chinois, dont RedDelta, ont déjà ciblé des organisations intergouvernementales officielles en Asie du Sud-Est, probablement à des fins d'espionnage. En outre, en mars et avril 2025, l'Insikt Group a observé des preuves suggérant la compromission probable d'une autre organisation intergouvernementale basée en Asie du Sud-Est.

Taïwan

Entre le 9 décembre 2024 et le 16 décembre 2024, Insikt Group a observé des communications provenant d'un serveur malveillant RedNovember, 198[.]98[.]50[.]218, hébergeant également un Pantegana C2, à un endroit à Taïwan qui abrite une base aérienne militaire de l’armée de l’air de Taïwan et qui est également un lieu principal pour la recherche et le développement de semi-conducteurs. Le 9 décembre 2024, la Chine a mené un exercice militaire surprise autour de Taïwan, auquel ont participé environ 90 navires de guerre et garde-côtes, notamment la simulation d’attaques contre des navires étrangers et la pratique du blocus des routes maritimes.

En avril 2025, RedNovember a également mené des opérations de reconnaissance contre des infrastructures associées à deux organisations nationales de recherche scientifique à Taïwan, dont l'une se consacre à la recherche et au développement dans le domaine des semi-conducteurs.

Corée du Sud

Insikt Group a observé pour la première fois que RedNovember visait la Corée du Sud à la fin du mois d'août 2024. Entre fin août 2024 et mars 2025, RedNovember a compromis une organisation coréenne à but non lucratif dans le secteur des services financiers. L'organisation a été observée en train de communiquer avec plusieurs des serveurs C2 de Pantegana du groupe de menace.

Des organisations coréennes ont également été ciblées dans le cadre de la vague d'exploitation de RedNovember d'avril 2025 contre les dispositifs VPN Ivanti Connect Secure (ICS), comme lorsque Insikt Group a observé la compromission présumée d'une organisation liée à la sécurité nucléaire en Corée du Sud financée par le gouvernement coréen, qui est une entité de recherche et de développement de premier plan et a été considérablement impliquée dans les efforts de la Corée du Sud en matière de supercalculateurs et d'informatique quantique. RedNovember a également mené des opérations de reconnaissance contre les appareils ICS VPN d'une entreprise coréenne de télécommunications, d'une organisation coréenne de classification des navires et d'une université nationale de recherche coréenne.

Large ciblage des entités du gouvernement panaméen

Entre le 22 et le 24 avril 2025, Insikt Group a observé les efforts considérables déployés par RedNovember pour scanner et probablement reconnaître plus de 30 organisations panaméennes, dont la majorité est liée au gouvernement panaméen. Parmi les dispositifs et les organisations ciblés figuraient des organismes gouvernementaux panaméens spécialisés dans les finances, les relations internationales et les transports. Plusieurs autres ministères ont également été ciblés, notamment ceux qui s'occupent du développement foncier et économique et les organisations de services d'urgence.

Le calendrier de la reconnaissance observée a suivi de près la visite du secrétaire américain à la défense Pete Hegseth au Panama au début du mois d'avril 2025, et pourrait avoir été déclenché au moins en partie par plusieurs remarques faites par le président américain Donald Trump au cours des mois de janvier et février 2025 qui ont suggéré l'intérêt des États-Unis à affirmer le contrôle du canal de Panama. Le 9 avril 2025, le secrétaire d'État Hegseth a annoncé un "partenariat élargi" avec le Panama pour contrer l'influence chinoise sur le canal. En outre, en février 2025, à la suite d'une visite du secrétaire d'État américain Marco Rubio, le président du Panama, José Raúl Mulino, a annoncé que le pays quitterait officiellement le projet phare de développement étranger de la Chine, Belt and Road Initiative (BRI), en ne renouvelant pas le protocole d'accord actuel, et que le Panama réexaminerait également ses contrats avec la société hongkongaise Hutchison PPC, qui gère actuellement les ports panaméens de Balboa et de Cristóbal. Un accord sur la vente des deux ports à un consortium dirigé par la société d'investissement américaine BlackRock et MSC (Mediterranean Shipping Company), qui devait être signé au cours de la première semaine d'avril 2025, aurait été retardé sous la pression de la Chine.

Figure 3: Répartition des activités de reconnaissance et de compromission de RedNovember par pays entre juin 2024 et mai 2025 (Source : Recorded Future).

Ciblage des organisations de défense et d'aérospatiale américaines et européennes

En juillet 2024, l'Insikt Group a observé RedNovember mener une vaste campagne de reconnaissance ciblant exclusivement d'importantes organisations du secteur de l'aérospatiale et de la défense, avec une attention particulière pour les États-Unis. Cette activité impliquait un balayage de port suspect à partir de l'adresse IP de RedNovember 209[.]141[.]46[.]57. contre ces réseaux. Rien ne permet de penser que ces entités ont fait l'objet d'une compromission ou d'une exploitation réussie. Cependant, cette activité a démontré que RedNovember élargissait son ciblage pour inclure la base industrielle de défense américaine et d'autres organisations de défense mondiales. Au cours du premier semestre 2025, Insikt Group a observé de nouvelles activités de reconnaissance de RedNovember et des compromis ciblant ce secteur.

En avril 2025, des communications ont été observées entre un serveur de reconnaissance et d'exploitation des vulnérabilités de RedNovember et une infrastructure associée à un centre européen de recherche spatiale.

Dans le cadre de sa campagne d'avril 2025 visant les dispositifs VPN Ivanti Connect Secure (ICS), RedNovember a ciblé une entreprise américaine spécialisée dans l'ingénierie et l'armée. Insikt Group a observé des connexions directes entre le même serveur C2 et d'exploitation Cobalt Strike de RedNovember et deux points d'extrémité ICS VPN de l'organisation orientés vers l'Internet sur une période de deux jours ; cependant, il n'y a actuellement pas de preuves suffisantes pour conclure que RedNovember a réussi à compromettre la cible.

Toujours en avril 2025, RedNovember a procédé à une reconnaissance approfondie d'un espace d'adresses IP associé à un établissement d'enseignement supérieur lié à la marine américaine. Insikt Group n'a pas observé de preuves de la compromission de l'organisation.

Ciblage du secteur privé

Entreprises manufacturières européennes

En mars 2025, Insikt Group a identifié une reconnaissance directe et des communications avec les C2 de RedNovember Cobalt Strike qui indiquaient la possible compromission par RedNovember d'un fabricant de moteurs européen. Le groupe de menaces a ciblé un appareil VPN SonicWall et les pages de connexion pour les appareils F5 BIG-IP et l’environnement VDI de l’entreprise. RedNovember a également accédé à un serveur qui héberge un SonicWall SonicOS et une instance SonicWall SSL VPN pour un entrepreneur de la défense basé au Royaume-Uni.

En outre, toujours en mars 2025, Insikt Group a observé l'adresse IP 209[.]141[.]46[.]24 contrôlée par RedNovember. navigation vers une instance SonicWall SonicOS et SonicWall SSL-VPN d'une entreprise britannique spécialisée dans le câblage sur mesure, notamment pour l'aérospatiale, l'armée, la défense et les applications médicales.

Cabinets d'avocats (au niveau mondial)

Le groupe a compromis un dispositif SonicWall SonicOS et SSL VPN appartenant à un cabinet d'avocats américain en avril 2025. RedNovember a également ciblé des adresses IP, dont une adresse Palo Alto GlobalProtect Gateway Httpd sever, associée à un cabinet d'avocats international impliqué dans un projet de restructuration de la dette avec une entreprise chinoise.

Entreprises technologiques taïwanaises

Entre juillet 2024 et mars 2025 au moins, RedNovember a compromis une société informatique taïwanaise en utilisant les adresses IP C2 de Pantegana 209[.]141[.]57[.]116. et 205[.]185[.]126[.]208. RedNovember a manifesté un intérêt particulier pour les entreprises taïwanaises, notamment celles liées aux semi-conducteurs et à la technologie, ainsi que pour les organismes gouvernementaux taïwanais liés à la science.

Sociétés pétrolières et gazières américaines

En avril 2025, RedNovember a effectué une reconnaissance de deux compagnies pétrolières et gazières américaines. Insikt Group avait déjà fait état publiquement de RedNovember ciblant les entreprises de services publics américaines en 2024, dans le cadre d'une campagne visant les dispositifs Palo Alto GlobalProtect.

Vaste ciblage des entités gouvernementales, financières, des transports et des médias fidjiens

En juillet 2024, Insikt Group a identifié une recrudescence des activités de RedNovember visant plus de 50 organisations fidjiennes via les adresses IP 209[.]141[.]46[.]57 contrôlées par des acteurs. et 209[.]141[.]47[.]6. Cette activité a ciblé exclusivement les portails de connexion OWA et Sophos UTM de ces organisations. Parmi les cibles notables figuraient de nombreuses institutions financières fidjiennes, des autorités chargées des transports, des médias et des organisations gouvernementales. En particulier, le ciblage identifié de plusieurs autorités de transport terrestre, maritime et aérien s'aligne sur les intérêts de l'initiative Belt and Road (BRI) en cours aux Fidji(1, 2), illustrant l'activité de RedNovember en corrélation avec les intérêts de l'État chinois.

Ciblage des appareils de périphérie et exploitation des vulnérabilités

RedNovember a à plusieurs reprises ciblé des dispositifs de pointe spécifiques à la suite de la divulgation de vulnérabilités et de la publication d'un code d'exploitation PoC pour ces mêmes dispositifs. Insikt Group a également observé des preuves que le groupe a ciblé la vulnérabilité Follina (CVE-2022-30190) et un serveur Microsoft Exchange.

RedNovember a l'habitude de cibler les vulnérabilités des appareils périphériques. En avril 2024, à la suite de la publication d'un programme d'exploitation pour la vulnérabilité CVE-2024-3400 (exécution de code à distance) du pare-feu GlobalProtect de Palo Alto Networks, le groupe a probablement mené des activités de reconnaissance et d'exploitation contre des appareils GlobalProtect de Palo Alto Networks associés à des organisations américaines dans les domaines de l'éducation, de la finance, du droit, de l'administration locale et des services d'utilité publique.

Ciblage d'Ivanti Connect Secure VPN en avril 2025

En avril 2025, RedNovember a mené une campagne de reconnaissance et de ciblage des dispositifs VPN Ivanti Connect Secure (ICS) dans plusieurs pays. Parmi les cibles spécifiques figuraient un grand journal américain, un entrepreneur américain spécialisé dans l'ingénierie et l'armée, et deux instituts coréens de premier plan associés à la recherche scientifique et à la réglementation nucléaire.

Ciblage probable des passerelles VPN de Check Point suite à la publication du PoC CVE-2024-24919

Du 3 au 6 juin 2024, Insikt Group a observé des communications sortantes depuis l'adresse IP RedNovember 209[.]141[.]47[.]6 vers des passerelles VPN de Check Point liées à au moins 60 organisations, principalement au Brésil, en Allemagne, au Japon, au Portugal, au Royaume-Uni et aux États-Unis (voir la figure 4). Cette activité est apparue relativement opportuniste, avec un minimum de thèmes identifiés dans les organisations ciblées.

Notamment, le 30 mai 2024, un exploit PoC a été publié pour la vulnérabilité de lecture de fichier arbitraire CVE-2024-24919 affectant plusieurs produits de passerelle VPN Check Point, ce qui a conduit à une exploitation généralisée dans la nature par plusieurs acteurs malveillants. Bien que cela n'ait pas été confirmé, le calendrier de l'activité de RedNovember suggère que le groupe pourrait avoir tenté d'exploiter cette vulnérabilité après la publication de ce PoC. Un comportement similaire de RedNovember a déjà été noté concernant le ciblage des appareils GlobalProtect de Palo Alto Networks, qui s’est étroitement aligné sur la publication d’un PoC public pour la vulnérabilité de création de fichiers arbitraires CVE-2024-3400.

Figure 4: Répartition du ciblage des VPN Check Point de RedNovember par pays au début du mois de juin 2024.

(source : Recorded Future)

Outils utilisés par RedNovember

LESLIELOADER et SparkRAT

Insikt Group a identifié deux échantillons LESLIELOADER utilisés par RedNovember pour charger SparkRAT. Le groupe a déjà utilisé une variante du chargeur LESLIELOADER basé sur Go , disponible publiquement, pour charger SparkRAT, notamment dans une chaîne documentée par les recherches de Kroll en mars 2024.

Table 1: Les échantillons RedNovember LESLIELOADER utilisés pour charger SparkRAT (Source : Recorded Future)

L'échantillon 06e87a03507213322d876b459194021f876ba90f85c5faa401820954045cd1d2 a d'abord été téléchargé sur un dépôt public de logiciels malveillants dans un fichier ZIP (SHA256 : 675874ac8fbe66e76244759ae398a4d30da84ef2435a1384c4be549ca9eba18b), qui contenait également un document PDF (SHA256 : 1e37efcd3cd647e6ce5414ae8e353ca690c2d3f701a1cc2ec29a4813f5c90b). Le leurre PDF, qui a très probablement été diffusé par le biais d'un e-mail de spearphishing, prétendait provenir du service informatique d'une entreprise sous-traitante de la marine américaine et demandait aux cibles recevant le fichier de télécharger et d'installer l'échantillon LESLIELOADER à partir du domaine malveillant download[.]offiec[.]us[.]kg, contrôlé par l'acteur de la menace. L'exécutable LESLIELOADER se faisait passer pour un correctif de sécurité pour le logiciel VMware, et son nom de fichier incluait le nom spécifique de l'entreprise américaine ciblée.

LESLIELOADER et Cobalt Strike

En mai 2025, Insikt Group a identifié deux échantillons supplémentaires de LESLIELOADER utilisés pour charger Cobalt Strike Beacon en mémoire.

Table 2: RedNovember LESLIELOADER échantillons utilisés pour charger Cobalt Strike (Source : Recorded Future)

Notamment, dans ce cas, le serveur était hébergé en Chine, plus précisément sur ALIBABA-CN-NET (AS37963), et le service Cobalt Strike était exécuté sur le port TCP 80.

Documents malveillants supplémentaires

Insikt Group a également identifié un document Word malveillant dirigeant les victimes vers le domaine contrôlé par RedNovember login[.]offiec[.]us[.]kg (SHA256 : 9a1077f57bac5610d44ac46a8958dd5469522a3db466f164f4dfeada73847b79), en particulier à l'URL : hxxps://login[.]offiec[.]us[.]kg/ms-help.html. Le nom de sous-domaine "offiec" pourrait être une référence typosquat à la suite Microsoft Office. Le fichier a été modifié pour la dernière fois le 14 août 2024 et a été soumis pour la première fois à un scanner de logiciels malveillants public le 15 août 2024. Le fichier ms-help.html (SHA256 : dba860617762bc713771de351026eb683546b37489fa0359064948f263438030) téléchargé par le document Word semble être un exploit de la vulnérabilité Follina (CVE-2022-3019).

Autres outils potentiels

Insikt Group a observé que RedNovember utilisait de nombreux sites web et outils de partage de fichiers pour rechercher des vulnérabilités.

pan[.]xj[.]hk

En octobre 2024, Insikt Group a observé des connexions entre un serveur RedNovember et le site web pan[.]xj[.]hk, un site web anonyme de partage de fichiers. Ce site Web a déjà été signalé par Mandiant comme ayant été utilisé par un acteur présumé de la menace basé en Chine, UNC5266, dans le cadre d'une campagne d'exploitation ciblant les appareils Ivanti en 2024. UNC5266 aurait utilisé le site web de partage de fichiers pour mettre en place des charges utiles de logiciels malveillants et tenter de les récupérer par le biais de requêtes curl et wget vers des chemins d'URL spécifiques sur le site web. Insikt Group ne dispose actuellement d'aucune preuve permettant d'établir un lien entre l'UNC5266 et le RedNovember.

Depuis au moins le 23 janvier 2025 et depuis le 22 juillet 2025, la page d’accueil du domaine affiche un message en chinois qui se lit comme suit : « Déclaration sur l’abus de 'pan[.]xj[.]hk' par des cyberattaquants. La déclaration reconnaît que de récents rapports publics ont mis en évidence une utilisation abusive présumée de la plateforme par des auteurs de cybermenace, affirmant qu’elle n’a aucun lien avec de tels incidents et qu’elle respecte les lois et règlements applicables. Selon le communiqué, la plate-forme est temporairement indisponible pendant que des travaux sont en cours pour « optimiser la logique de téléchargement et ajouter la vérification de l’authentification ».

Figure 5: Déclaration sur la pan[.]xj[.]hk page principale (Source : urlscan.io)

PortSwigger

RedNovember s'est connecté à plusieurs reprises au site web de PortSwigger. PortSwigger fournit des outils pour tester et analyser la sécurité des applications web. Son principal produit, Burp Suite, est largement utilisé par les chercheurs en sécurité - et, occasionnellement, par les auteurs de menaces - pour tester et analyser les applications web à la recherche de vulnérabilités.

Filemail

RedNovember s'est connecté à une instance Filemail dédiée avec un domaine de 3008[.]filemail[.]com. Filemail est un service de transfert de fichiers basé sur le cloud qui permet aux utilisateurs de télécharger, d'envoyer et de partager des fichiers volumineux par courrier électronique ou par des liens partageables.

Acunetix

Dans au moins un cas, un serveur C2 Cobalt Strike de RedNovember a exécuté l'outil d'analyse des vulnérabilités Acunetix, ce qui suggère que le groupe de menace pourrait également utiliser cet outil dans le cadre de ses activités de reconnaissance.

Cible des pirates informatiques

RedNovember a utilisé l'un de ses serveurs pour accéder au site hackertarget[.]com. en avril 2025. Hacker Target fournit une plate-forme gratuite de scanner de vulnérabilité en ligne avec de multiples fonctionnalités, notamment les analyses Nmap et ZMap, ainsi que le profilage de domaine et de serveur.

Wayback Machine

En avril 2025, RedNovember a utilisé au moins deux de ses serveurs pour naviguer vers la Wayback Machine de l'Internet Archive. Insikt Group n'avait pas de visibilité sur ce que le groupe de menace a interrogé dans l'archive.

Crt[.]sh

Toujours en avril 2025, RedNovember a accédé à crt[.]sh, un service gratuit de transparence des certificats TLS en ligne qui permet aux utilisateurs de consulter les journaux des certificats TLS par domaine ou par hachage de certificat.

Gofile[.]io

En outre, en avril 2025, RedNovember s'est connecté au service gratuit de stockage en nuage gofile[.]io, suggérant que l'acteur de la menace pourrait avoir téléchargé ou parcouru des fichiers à partir d'un compte qu'il détenait sur la plateforme. Comme souligné ci-dessus, RedNovember a déjà utilisé des services similaires, tels que le pan[.]xj[.]HK.

Mitigations

Les organisations doivent prendre les mesures suivantes pour détecter et atténuer les TTP observées associées à l'activité de RedNovember :

• Détecter et bloquer les infrastructures malveillantes telles que Pantegana, SparkRAT et les serveurs C2 Cobalt Strike en temps réel via le module Recorded Future® Threat Intelligence.
• Recorded Future® Les utilisateurs du module Third-Party Intelligence peuvent surveiller les résultats en temps réel afin d'identifier les activités d'intrusion ciblées suspectes impliquant des fournisseurs et des partenaires clés au sein des chaînes d'approvisionnement physiques, réseau et logicielles.
• En surveillant les événements d'analyse de l'infrastructure, les clients de Recorded Future peuvent alerter et surveiller les adresses IP RedNovember C2.
• En surveillant l'analyse du trafic malveillant (MTA), les clients de Recorded Future peuvent alerter et surveiller de manière proactive l'infrastructure impliquée dans une communication notable avec des adresses IP C2 RedNovember connues.
• Garantir une approche basée sur le risque pour la correction des vulnérabilités, en donnant la priorité aux vulnérabilités à haut risque et à celles qui sont exploitées dans la nature, comme déterminé par le module Recorded Future® Vulnerability Intelligence . La disponibilité publique d'un code d'exploitation peut augmenter considérablement la probabilité d'une exploitation massive(1, 2, 3). Pour vous protéger spécifiquement contre certains groupes parrainés par l'État chinois, prêtez une attention particulière aux vulnérabilités d'exécution de code à distance (RCE) dans les appareils faisant face à l'extérieur de votre environnement.
• Configurez les systèmes de détection d'intrusion (IDS), les systèmes de prévention d'intrusion (IPS) ou tout autre mécanisme de défense du réseau en place afin d'être alerté et, après examen, envisagez de bloquer les tentatives de connexion en provenance et à destination des adresses IP externes et des domaines mentionnés à l'annexe A.
• Veillez à ce que des capacités de surveillance et de détection de la sécurité soient en place pour tous les services et dispositifs en contact avec l'extérieur. Surveillez les activités de suivi susceptibles de se produire après l'exploitation de ces services externes, telles que le déploiement de shells web, de portes dérobées ou de shells inversés, ainsi que les mouvements latéraux ultérieurs vers les réseaux internes.
• Auditez régulièrement les appareils orientés vers l'internet et le périmètre, et réduisez les surfaces d'attaque en désactivant les interfaces ou les portails orientés vers l'internet et internes lorsqu'ils ne sont plus nécessaires, et en réduisant les appareils exposés à l'internet à ceux qui sont strictement nécessaires.
• Tenez compte des capacités de journalisation et de l'assistance des produits de sécurité lors de l'achat initial d'appareils réseau, afin d'être en mesure de détecter les menaces et d'y répondre.
• Pratiquez la segmentation du réseau et veillez à ce qu'il existe des protections spéciales pour les informations sensibles ; envisagez de mettre en œuvre une authentification multifactorielle et un accès et un stockage extrêmement restreints sur les systèmes uniquement accessibles via un réseau interne.
• Concentrez-vous sur les stratégies de défense en profondeur, telles que la détection des activités de persistance, de découverte et de déplacement latéral post-exploitation, ainsi que des communications réseau inhabituelles. Ces stratégies peuvent faciliter la détection et la réponse aux intrusions résultant de l'exploitation de vulnérabilités connues ou non.

Outlook

RedNovember a toujours ciblé un large éventail de pays et de secteurs, ce qui laisse supposer que les besoins en matière de renseignement sont vastes et changeants. Certaines de ses activités semblent correspondre à une affiliation militaire ou à des intérêts militaires connexes, comme le ciblage d'entités spécifiques de la DIB américaine, ou le ciblage de Taïwan à l'époque des exercices militaires chinois à Taïwan. Cependant, il existe différents types de ciblage qui ne correspondent pas exactement à ce modèle : par exemple, le ciblage de cabinets d'avocats, d'organisations de presse et d'une confession chrétienne aux États-Unis. D'autres groupes d'activités de RedNovember témoignent d'un intérêt manifeste pour les gouvernements étrangers et la politique étrangère, comme le ciblage d'organisations multilatérales internationales basées en Asie du Sud-Est et de ministères de plusieurs pays d'Asie du Sud-Est et d'Amérique du Sud, ainsi que la reconnaissance de dizaines de ministères du gouvernement panaméen en avril 2025.

Sur la base de sa visibilité et de sa collecte, Insikt Group a observé que l'activité de RedNovember à ce jour s'est principalement concentrée sur plusieurs zones géographiques clés, notamment les États-Unis, l'Asie du Sud-Est, la région Pacifique et l'Amérique du Sud. Bien que des cibles et des victimes aient également été identifiées en Europe et au moins une en Afrique, le volume global des activités dirigées vers ces zones a été nettement inférieur à celui observé dans les principales régions ciblées.

D'un point de vue sectoriel, RedNovember a continué à cibler les organisations gouvernementales dans les îles du Pacifique, en Asie du Sud-Est et en Amérique du Sud, les organisations intergouvernementales en Asie du Sud-Est et les organisations religieuses. Cependant, depuis notre premier rapport public sur le groupe, nous avons également observé que RedNovember a étendu son ciblage à des organisations de défense et d'aérospatiale, au secteur privé et à au moins deux organes de presse.

L'Insikt Group prévoit que RedNovember, ainsi que d'autres groupes de menace parrainés par l'État chinois, continueront très certainement à cibler les dispositifs de pointe et à exploiter les vulnérabilités peu de temps après leur publication.

Annexe A : Indicateurs de compromission

Domaines:
aeifile[.]offiec[.]États-Unis[.]Kg
citrix[.]offiec[.]us[.]kg
cna[.]offiec[.]us[.]kg
download[.]offiec[.]us[.]kg
gp[.]offiec[.]us[.]kg
connexion[.]offiec[.]États-Unis[.]Kg
test[.]offiec[.]us[.]kg
VPN[.]offiec[.]États-Unis[.]Kg
VPN1[.]offiec[.]États-Unis[.]Kg

RedNovember Pantegana C2 Adresses IP :
45[.]61[.]187[.]124
198[.]98[.]50[.]218
198[.]98[.]53[.]163
198[.]98[.]61[.]155
209[.]141[.]37[.]254
205[.]185[.]126[.]208
205[.]185[.]124[.]24
209[.]141[.]42[.]131
209[.]141[.]46[.]83
209[.]141[.]57[.]116

RedNovember Cobalt Strike C2 Adresse IP :
47[.]103[.]218[.]35

RedNovember Cobalt Strike C2 URLs :
hxxp://47[.]103[.]218[.]35/pixel
hxxp://47[.]103[.]218[.]35/GSjY

LESLIELOADER SHA256 hashes :
06e87a03507213322d876b459194021f876ba90f85c5faa401820954045cd1d2
134ed0407956ff1ac59f38e89742e357cc3be565cbaff18b424ed1bcfd130978
2bee2cc42322e928bfa0650c5416b14bc0200f2d1156304179d63982baa835dc
8679a25c78e104c6e74996b75882e378f420614fe1379ee9c1e266a11ffa096d
ZIP fichier SHA256 hash :
675874ac8fbe66e76244759ae398a4d30da84ef2435a1384c4be549ca9eba18b

PDF lure SHA256 hash :
1e37efcd3cd647e6ce5414ae8e353ca690c2d3f701a1cc2ec29a4813f5c90b

Document Word Follina malveillant SHA256 hash :
9a1077f57bac5610d44ac46a8958dd5469522a3db466f164f4dfeada73847b79
dba860617762bc713771de351026eb683546b37489fa0359064948f263438030

Appendix B: MITRE ATT&CK Techniques

Annexe C : Règle LESLIELOADER YARA

rule MAL_LESLIELOADER {
 meta :
 author = "Insikt Group, Recorded Future"
 date = "2024-11-14"
 description = "Detects LESLIELOADER Malware used by RedNovember"
 version = "1.0"
        hash = "8679a25c78e104c6e74996b75882e378f420614fe1379ee9c1e266a11ffa096d"
 hash = "06e87a03507213322d876b459194021f876ba90f85c5faa401820954045cd1d2"
 malware = "LESLIELOADER"
 malware_id = "u-6JwI"
 category = "MALWARE"
 strings :
       $s1 = ".DecrptogAES"
 $s2 = ". UnPaddingText1"
 // Clé AES 1
 $k1a = "LeslieCh"
 $k1b = "eungKwok"
 // Clé AES 2
 $k2a = { 33 44 37 35 45 34 43 39 }
       $k2b = { 42 33 32 41 42 45 31 37 }
 condition :
 uint16be(0) == 0x4d5a
 and all of ($s*)
 and 2 of ($k*)
}

Annexe D : Modèle d’analyse d’intrusion de RedNovember Diamond