정부, 국방, 기술 조직을 타깃으로 하는 RedNovember

참고: 이 보고서의 분석 마감일은 2025년 7월 25일입니다.

Executive Summary

2024년 7월, 오픈 소스 멀티 플랫폼 Go 백도어 판테가나를 사용하여 전 세계 유명 정부, 정부 간, 민간 부문 조직을 대상으로 사이버 스파이 활동을 하는 것으로 의심되는 위협 활동 그룹인 TAG-100( Insikt Group )에 대해 공개적으로 보고했습니다. 당시에는 이 활동을 특정 국가로 지목하지 않았지만, 모든 증거를 검토한 결과 TAG-100이 중국 국가가 후원하는 위협 활동 그룹일 가능성이 높다고 평가했습니다. 따라서 Insikt Group 에서 이 그룹을 RedNovember라는 명칭으로 추적합니다.

2024년 6월부터 2025년 7월까지 (Storm-2077과 겹치는) RedNovember는 전 세계 유명 조직의 경계 어플라이언스를 표적으로 삼았으며 침입의 일환으로 Go 기반 백도어 판테가나 및 코발트 스트라이크를 사용했습니다. 이 그룹은 국방 및 항공우주 조직, 우주 조직, 로펌 등 정부 및 민간 부문 조직을 대상으로 송금 대상을 확대했습니다.

Recorded Future Network Intelligence, Insikt Group 은 중앙아시아의 외교부, 아프리카의 국가 안보 기관, 유럽 정부 기관, 동남아시아 정부를 포함한 새로운 피해자를 확인했습니다. 또한 레드노비트는 최소 두 곳의 미국 방위 계약업체, 유럽의 엔진 제조업체, 동남아시아의 무역 중심 정부 간 협력 단체를 침해한 것으로 보입니다.

레드노비트가 초기 접속을 위해 SonicWall, Cisco Adaptive Security Appliance(ASA), F5 BIG-IP, 팔로알토 네트웍스 글로벌프로텍트, Sophos SSL VPN, 포티넷 포티게이트 인스턴스, 아웃룩 웹 액세스(OWA) 인스턴스와 아이반티 커넥트 시큐어(ICS) VPN 기기 등 엣지 기기를 정찰하고 손상시킬 수 있는 것을 관찰했습니다.

레드노벰버의 활동은 무기화된 개념 증명(PoC) 익스플로잇과 판테가나와 같은 오픈 소스 사후 익스플로잇 프레임워크를 결합하여 능력이 부족한 위협 행위자의 진입 장벽을 낮추는 능력을 보여줍니다. 또한 상위 계층 그룹은 탐지될 우려가 적거나 어트리뷰션 난독화를 강화하는 것이 바람직한 작업 중에는 맞춤형 도구 사용을 자제할 수 있습니다.

Insikt Group은 Recorded Future의 알림 정책에 따라 이 게시에 앞서 책임감 있는 공개 절차를 따랐습니다.

주요 연구 결과

배경

레드노벰버(이전에는 TAG-100으로 추적되었으며 스톰-2077과 중복)는 오픈 소스 도구를 활용하고 인터넷 연결 장치를 악용하여 전 세계 정부, 정부 간, 민간 부문 조직을 대상으로 하는 중국 국가 지원 사이버 첩보 그룹입니다. Insikt Group 은 이전에 레드노베일이 정찰, 초기 접근, 침해 가능성 있는 활동을 수행하기 위해 멀티 플랫폼 Go 기반 백도어 판테가나 및 기타 공격용 보안 도구인 코발트 스트라이크와 스파크랫을 사용하고 경계 어플라이언스를 악용한 사실을 공개적으로 보고한 바 있습니다.

레드노벰버는 오픈 소스 기능을 전략적으로 사용하여 위협 그룹이 운영 비용을 낮추고 귀속을 난독화할 수 있도록 하는데, 이는 Insikt Group 에서 관찰한 광범위한 국가 지원 사이버 스파이 활동 트렌드와 일치하는 전술입니다. 무기화된 개념 증명(PoC) 익스플로잇과 오픈 소스 도구를 결합하여 RedNovember는 대규모로 운영할 수 있습니다. RedNovember의 활동은 제한된 가시성과 로깅 기능으로 인해 여전히 중요한 위험 요소로 남아 있는 경계 디바이스의 지속적인 취약성을 강조합니다.

레드노벰버는 보안 제품을 포함한 인터넷 연결 디바이스의 취약점을 노려 표적에 대한 초기 접근을 점점 더 많이 달성하고 있는 중국의 여러 국가 지원 위협 그룹 중 하나입니다. 인터넷 연결 디바이스를 표적으로 삼는 것은 중국 국가가 후원하는 위협 그룹이 더 많은 후속 활동에 앞서 초기 액세스를 확장하고 많은 조직에 초기 거점을 확보하는 효과적인 방법임이 입증되었습니다.

기술 분석

레드넴버의 활동에 대한 최초 공개 보고 이후, 레드넴버는 침입 활동의 일환으로 판테가나 C2 프레임워크와 코발트 스트라이크를 계속 사용하고 있습니다. 저희의 가시성과 수집된 정보로 볼 때, RedNovember는 서버 관리를 위해 ExpressVPN을 계속 사용하고 있을 가능성이 높으며, 현실적인 확률로 볼 때 워프 VPN과 같은 다른 VPN을 사용하여 인프라에 원격으로 연결하기 시작했을 수도 있습니다.

그림 1: RedNovember 운영 개요(출처: Recorded Future)

레드노벰버의 활성 C2 서버를 모니터링하는 동안 Insikt Group 은 공공 및 민간 부문에 걸쳐 전 세계적으로 다수의 피해자를 관찰했지만, 항공우주 및 방위, 정부, 전문 서비스 분야에 집중되어 있는 것을 확인했습니다.

레드넴버의 의심되는 침해 활동 외에도 여러 조직과 레드넴버와 관련된 C2 서버 간의 다른 네트워크 통신이 관찰되었으며, 이는 최소한 위협 그룹의 일반적인 탐색 활동과 잠재적인 정찰 활동을 반영하는 것으로 보입니다. 이러한 활동이 침해 의도를 나타내는 것일 수도 있지만, 현재로서는 그러한 결론에 도달할 만한 증거가 충분하지 않습니다.

'침해', '타겟팅', '정찰', '탐색'(" )이라는 용어는 관찰된 활동의 유형을 명확히 하기 위해 이 보고서 전체에서 구체적으로 사용되었습니다. 예를 들어, RedNovember가 기업을 침해했다고 평가하는 경우 "침해" 및 "피해자"와 같은 용어를 사용합니다.

Victimology, 표적 및 정찰

2024년 하반기부터 2025년 하반기까지 레드노벰버는 전 세계적으로 조직을 침해하고 표적화하여 정찰했습니다. 특히 레드노벰버는 미국, 대만, 한국의 조직을 집중적으로 표적으로 삼았으며, 2025년 4월에는 30개 이상의 파나마 정부 기관을 정찰하는 데 집중했습니다.

그림 2: 레드노벰버의 표적이 되거나 침해된 조직이 있는 국가 지도 (출처: Recorded Future)

정부, 정부 간, 외교 기관의 타겟팅

레드노벰버는 여러 국가의 정부 및 외교 기관과 정부 간 조직을 표적으로 삼았습니다. Insikt Group 는 남미 국가가 중국을 국빈 방문하기 전에 해당 국가에 속한 Outlook 웹 액세스(OWA) 포털이 표적이 될 가능성을 확인했습니다. 동남아시아 및 남미의 외교부 소속 OWA 포털을 대상으로 한 유사한 레드 노벰버 활동이 관찰되었습니다.

적어도 2024년 중반부터 레드노벰버는 다음 타깃을 침해했을 가능성이 높습니다:

Insikt Group 또한 동남아시아에 기반을 둔 정부 간 조직이 적어도 2025년 3월까지 장기적으로 타협할 것을 시사하는 커뮤니케이션을 관찰했습니다. 레드델타를 포함한 다른 중국 국가 지원 위협 행위자들은 이전에 스파이 활동을 목적으로 동남아시아의 공식 정부 간 조직을 표적으로 삼은 적이 있습니다. 또한, 2025년 3월과 4월에 Insikt Group 에서는 동남아시아에 기반을 둔 정부 간 조직이 추가로 해킹당할 가능성을 시사하는 증거를 발견했습니다.

대만

2024년 12월 9일부터 2024년 12월 16일 사이에 Insikt Group 은 RedNovember 악성 서버( 198[.]98[.]50[.]218)의 통신을 관찰했습니다, 또한 대만 공군 공군 기지가 있고 반도체 연구 및 개발의 주요 장소이기도 한 대만의 한 지역에 판테가나 C2를 호스팅하고 있습니다. 2024년 12월 9일, 중국은 대만 주변에서 90여 척의 군함과 해안 경비대가 참여한 가운데 외국 선박에 대한 공격 시뮬레이션과 항로 봉쇄 연습을 포함한 기습적인 군사 훈련을 실시했습니다.

2025년 4월에는 반도체 관련 연구 개발 업무를 담당하는 대만의 국립 과학 연구 기관 두 곳과 관련된 인프라에 대한 정찰도 실시했습니다.

대한민국

Insikt Group 2024년 8월 말에 한국을 겨냥한 레드노벤처를 처음 관측했습니다. 2024년 8월 말부터 2025년 3월까지 RedNovember는 금융 서비스 부문의 한국 비영리 단체를 손상시켰습니다. 이 조직은 위협 그룹의 여러 판테가나 C2 서버와 통신하는 것이 관찰되었습니다.


또한, 한국 정부가 자금을 지원하는 한국의 원자력 안전 관련 기관( Insikt Group )이 침해된 것으로 의심되는 것을 발견했을 때(예: 한국 정부의 최고 연구 개발 기관이자 한국의 슈퍼컴퓨팅 및 양자 컴퓨팅 노력에 크게 관여하고 있는 기관), 한국 기관은 Ivanti Connect Secure(ICS) VPN 장치에 대한 RedNovember의 2025년 4월 공격의 일부로 공격 대상이 되기도 했습니다. 또한, 레드넵은 국내 통신사, 국내 선박 선급 기관, 국내 국립 연구 대학을 대상으로 ICS VPN 어플라이언스에 대한 정찰을 수행했습니다.

파나마 정부 기관에 대한 광범위한 표적

2025년 4월 22일부터 4월 24일까지 레드노벰버( Insikt Group )는 파나마 정부와 관련된 30개 이상의 파나마 조직을 스캔하고 정찰하는 상당한 노력을 기울였으며, 그 중 대부분이 파나마 정부와 관련이 있을 가능성이 높습니다. 표적이 된 기기 및 조직에는 금융, 국제 관계 및 교통에 중점을 둔 파나마 정부 기관이 포함되었습니다. 이 표적에는 토지 및 경제 개발과 응급 서비스 기관에 중점을 둔 정부 부처를 비롯한 여러 다른 정부 부처도 포함되었습니다.

관측된 정찰 시기는 2025년 4월 초 피트 헤그세스 미 국방부 장관의 파나마 방문과 밀접한 관련이 있으며, 적어도 부분적으로는 2025년 1월과 2월에 도널드 트럼프 미 대통령이 파나마 운하에 대한 통제권을 주장하려는 미국의 관심을 시사하는 여러 발언으로 인해 촉발된 것으로 보입니다. 2025년 4월 9일, 헤그세스 장관은 운하에서 중국의 영향력에 대응하기 위해 파나마와의 '확장된 파트너십'을 발표했습니다. 또한, 2025년 2월 마르코 루비오 미국 국무장관의 방문 이후 호세 라울 물리노 파나마 대통령은 현재의 양해각서를 갱신하지 않음으로써 중국의 대표적인 대외 개발 프로젝트인 일대일로 이니셔티브(BRI)에서 공식 탈퇴할 것이며, 현재 파나마의 발보아와 크리스토발 항을 관리하는 홍콩 기업 허치슨 PPC와의 계약도 재검토할 것이라고 발표했습니다. 2025년 4월 첫째 주에 체결될 예정이었던 미국 투자회사 블랙록과 MSC(지중해 해운 회사)가 주도하는 컨소시엄에 두 항구를 매각하는 계약은 중국의 압력으로 지연된 것으로 알려졌습니다.

그림 3: 2024년 6월부터 2025년 5월까지 레드넴버의 국가별 정찰 및 침해 활동 분석(출처: Recorded Future)

미국 및 유럽 국방 및 항공우주 기관 타겟팅

2024년 7월, Insikt Group은 Rednovive가 특히 미국에 초점을 맞춘 저명한 항공우주 및 방위 조직만을 대상으로 광범위한 정찰 캠페인을 수행하는 것을 관찰했습니다. 이 활동에는 RedNovember IP 주소 209[.]141[.]46[.]57 이러한 네트워크에 대해 이러한 단체에 대해 성공적인 침해 또는 악용이 발생했음을 시사하는 증거는 없었습니다. 그러나 이 활동은 레드노벰버가 미국 방위 산업 기지와 다른 글로벌 방위 기관으로 공격 대상을 확대하고 있음을 보여주었습니다. 2025년 상반기에 Insikt Group 은 이 부문을 겨냥한 추가적인 레드노벰버 정찰 활동과 침해 사례를 관찰했습니다.

2025년 4월, 레드노벰버의 정찰 및 취약점 악용 서버와 유럽의 우주 중심 연구 센터와 관련된 인프라 간의 통신이 관찰되었습니다.

레드넴버는 2025년 4월에 Ivanti Connect Secure(ICS) VPN 디바이스 타깃팅의 일환으로 미국의 전문 엔지니어링 및 군사 계약업체를 표적으로 삼았습니다. Insikt Group 이틀 동안 동일한 레드노벰버 코발트 스트라이크 C2와 익스플로잇 서버와 조직의 ICS VPN 인터넷 연결 엔드포인트 두 개가 직접 연결되는 것을 관찰했지만, 현재 레드노벰버가 표적을 침해하는 데 성공했다고 결론 내릴 만한 충분한 증거는 없습니다.

또한 2025년 4월, 레드노벰버는 미 해군과 관련된 고등 교육 기관과 관련된 IP 주소 공간에 대해 광범위한 정찰을 실시했습니다. Insikt Group 조직이 침해당했다는 증거를 관찰하지 못했습니다.

민간 부문 표적

유럽 제조 기업

2025년 3월, Insikt Group 은 레드노벰버가 유럽 엔진 제조업체를 침해했을 가능성을 시사하는 레드노벰버 코발트 스트라이크 C2와 직접 정찰 및 통신을 한 사실을 확인했습니다. 이 위협 그룹은 회사의 F5 BIG-IP 장치 및 VDI 환경을 위한 SonicWall VPN 장치와 로그인 페이지를 표적으로 삼았습니다. 또한 RedNovember는 영국에 본사를 둔 방위 계약업체를 위해 SonicWall SonicOS와 SonicWall SSL VPN 인스턴스를 호스팅하는 서버를 탐색했습니다.

또한, 2025년 3월에도 Insikt Group 에서 RedNovember가 제어하는 IP 주소 209[.]141[.]46[.]24를 관찰했습니다. 항공 우주, 군사 및 방위, 의료 애플리케이션을 포함한 맞춤형 케이블 하네스에 주력하는 영국(영국)에 본사를 둔 회사의 SonicWall SonicOS 및 SonicWall SSL-VPN 인스턴스를 탐색하고 있습니다.

로펌(전 세계)

이 그룹은 2025년 4월 미국 로펌 소유의 SonicWall SonicOS 및 SSL VPN 장치를 손상시켰습니다. RedNovember는 또한 중국 회사와의 부채 구조 조정 프로젝트에 관여한 글로벌 로펌과 관련된 Palo Alto GlobalProtect Gateway Httpd 서버를 포함한 IP 주소를 표적으로 삼았습니다.

대만 기술 기업

최소 2024년 7월부터 2025년 3월까지, 레드노브는 판테가나 C2 IP 주소 209[.]141[.]57[.]116을 사용하여 대만 IT 기업을 침해했습니다. 및 205[.]185[.]126[.]208. RedNovember는 특히 반도체 및 기술 관련 대만 기업과 과학 관련 대만 정부 기관에 특별한 관심을 보였습니다.

미국 석유 및 가스 회사

2025년 4월, 레드노벰버는 미국의 석유 및 가스 회사 두 곳에 대한 정찰을 실시했습니다. Insikt Group 는 2024년 미국 유틸리티 조직을 표적으로 삼은 레드노벰버에 대해 공개적으로 보도한 적이 있는데, 이는 팔로알토 글로벌프로텍트 디바이스를 겨냥한 캠페인의 맥락에서였습니다.

피지 정부, 금융, 교통, 미디어 기관에 대한 광범위한 타겟팅

2024년 7월, Insikt Group 은 행위자가 제어하는 IP 주소 209[.]141[.]46[.]57을 통해 50개 이상의 피지 조직을 대상으로 하는 레드넴버 활동이 급증하는 것을 확인했습니다. 및 209[.]141[.]47[.]6. 이 활동은 해당 조직의 OWA 및 Sophos UTM 로그인 포털만을 대상으로 했습니다. 주요 공격 대상에는 피지의 여러 금융 기관, 교통 당국, 미디어 및 정부 기관이 포함되었습니다. 특히, 다수의 육상, 해상, 항공 운송 당국을 표적으로 삼은 것으로 확인된 것은 피지 내에서 진행 중인 일대일로 이니셔티브( BRI)의 이해와일치하며(1, 2), 이는 레드노베리의 활동이 중국의 국가 이익과 연관되어 있음을 보여주는 예시입니다.

엣지 디바이스의 급증하는 표적 공격 및 취약점 악용

레드노벰버는 특정 엣지 디바이스의 취약점을 공개하고 해당 디바이스에 대한 PoC 익스플로잇 코드를 공개한 후 특정 엣지 디바이스를 타깃으로 하는 공격을 반복적으로 수행했습니다. Insikt Group 이 그룹이 폴리나 취약점(CVE-2022-30190)과 Microsoft Exchange 서버를 표적으로 삼았다는 증거도 발견했습니다.

레드노벰버는 엣지 디바이스의 취약점을 노린 전력이 있습니다. 2024년 4월, 팔로알토 네트웍스 글로벌 프로텍트 방화벽 원격 코드 실행(RCE) 취약점 CVE-2024-3400에 대한 PoC 익스플로잇이 공개된 후 이 그룹은 미국의 교육, 금융, 법률, 지방 정부 및 유틸리티 조직과 관련된 팔로알토 네트웍스 글로벌 프로텍트 장비에 대한 정찰 및 악용 활동을 수행했을 가능성이 높습니다.

아이반티 커넥트 보안 VPN의 2025년 4월 출시 목표

레드노베리는 2025년 4월, 여러 국가에서 Ivanti Connect Secure(ICS) VPN 디바이스의 정찰 및 표적 공격에 초점을 맞춘 캠페인을 진행했습니다. 구체적인 표적은 미국의 주요 신문사, 미국의 전문 엔지니어링 및 군사 계약업체, 과학 연구 및 원자력 규제와 관련된 한국의 저명한 연구소 두 곳이었습니다.

CVE-2024-24919 PoC 발표에 따른 Check Point VPN 게이트웨이의 표적화 가능성

2024년 6월 3일부터 6월 6일까지, Insikt Group 는 주로 브라질, 독일, 일본, 포르투갈, 영국, 미국에 있는 최소 60개 조직에 연결된 Check Point VPN 게이트웨이에 대한 RedNovember IP 주소 209[.]141[.]47[.]6 의 아웃바운드 통신을 관찰했습니다( 그림 4 참조). 이 활동은 대상 조직 전체에서 최소한의 테마가 식별되어 비교적 기회주의적인 것으로 나타났습니다.

특히 2024년 5월 30일, 여러 Check Point VPN 게이트웨이 제품에 영향을 미치는 임의 파일 읽기 취약점 CVE-2024-24919에 대한 PoC 익스플로잇이 게시되어 여러 위협 행위자에 의해 야생에서 광범위하게 악용되었습니다. 아직 확인되지는 않았지만, 레드노벰버의 활동 시기를 보면 이 그룹이 이 PoC가 발표된 후 이 취약점을 악용하려고 시도했을 가능성이 있습니다. 이전에 레드노비트의 유사한 행동이 팔로알토 네트웍스의 글로벌 프로텍트(GlobalProtect) 디바이스 표적 공격과 관련하여 발견되었는데, 이는 임의 파일 생성 취약점 CVE-2024-3400의 공개 PoC 발표와 밀접하게 연관되어 있습니다.

그림 4: 2024년 6월 초 국가별 레드넴버 체크포인트 VPN 타겟팅 분석

(출처: Recorded Future)

RedNovember에서 사용하는 도구

LESLIELOADER 및 SparkRAT

Insikt Group은 RedNovember가 SparkRAT를 로드하는 데 사용한 두 개의 LESLIELOADER 샘플을 확인했습니다. 이 그룹은 이전에 공개적으로 사용 가능한 Go 기반 로더 LESLIELOADER의 변형을 사용하여 2024년 3월 Kroll 연구에 의해 문서화된 체인을 포함하여 SparkRAT을 로드한 적이 있습니다.

SHA256 해시
SparkRAT C2 IP 주소
8679a25c78e104c6e74996b75882e378f420614fe1379ee9c1e266a11ffa096d
209[.]141[.]46[.]57
06e87a03507213322d876b459194021f876ba90f85c5faa401820954045cd1d2
107[.]189[.]8[.]240

표 1: SparkRAT 로딩에 사용된 레드노벨 레슬리로더 샘플 (출처: Recorded Future)

06e87a03507213322d876b459194021f876ba90f85c5faa401820954045cd1d2 샘플은 먼저 ZIP 파일(SHA256: 675874ac8fbe66e76244759ae398a4d30da84ef2435a1384c4be549ca9eba18b)에 PDF 루어 문서(SHA256: 1e37efcd3cd647e6ce5414ae8e353ca690c2d3f7a701a1cc2ec29a4813f5c90b)도 포함되어 있었죠. 이메일 기반 스피어피싱을 통해 전달되었을 가능성이 높은 이 PDF 미끼는 미 해군 계약업체의 IT 부서에서 보낸 것으로 보이며, 파일을 받은 표적에게 위협 행위자가 제어하는 악성 도메인 download[.]offiec[.]us[.]kg에서 레슬리로더 샘플을 다운로드하여 설치하도록 유도합니다. 레슬리로더 실행 파일은 VMware 소프트웨어의 보안 패치로 가장했으며, 파일 이름에는 공격 대상이 되는 미국 계약업체의 구체적인 이름이 포함되어 있었습니다.

레슬리로더와 코발트 스트라이크

2025년 5월, Insikt Group 에서 코발트 스트라이크 비콘을 메모리에 로드하는 데 사용되는 레슬리로더의 샘플 2개를 추가로 확인했습니다.

SHA256 해시
코발트 스트라이크 C2 IP 주소
134ed0407956ff1ac59f38e89742e357cc3be565cbaff18b424ed1bcfd130978
47[.]103[.]218[.]35
2bee2cc42322e928bfa0650c5416b14bc0200f2d1156304179d63982baa835dc

표 2: RedNovember Cobalt Strike를 로드하는 데 사용된 LESLIELOADER 샘플(출처: Recorded Future)

특히 이 사례의 경우 서버는 중국에서 호스팅되었으며, 특히 ALIBABA-CN-NET(AS37963)에서 코발트 스트라이크 서비스가 TCP 포트 80에서 실행되었습니다.

추가 악성 문서

Insikt Group 또한 피해자를 RedNovember가 제어하는 도메인 login[.]offiec[.]us[.]kg으로 안내하는 악성 워드 문서도 확인했습니다. (SHA256: 9a1077f57bac5610d44ac46a8958dd5469522a3db466f164f4dfeada73847b79), 특히 URL: hxxps://login[.]offiec[.]us[.]kg/ms-help.html로 이동합니다. 하위 도메인 이름 "offiec"은 Microsoft Office 제품군에 대한 오타일 수 있습니다. 이 파일은 2024년 8월 14일에 마지막으로 수정되었으며, 2024년 8월 15일에 공개 멀웨어 스캐너에 처음 제출되었습니다. 워드 문서에서 다운로드한 ms-help.html 파일(SHA256: dba860617762bc713771de351026eb683546b37489fa0359064948f263438030)은 폴리나 취약점(CVE-2022-3019)을 악용한 것으로 나타났습니다.

기타 잠재적 도구

Insikt Group 는 여러 파일 공유 웹사이트와 도구를 사용하여 취약점을 스캔하는 RedNovember를 관찰했습니다.

pan[.]xj[.]hk

2024년 10월, Insikt Group은 RedNovember 서버와 웹사이트 pan[.]xj[.]홍콩, 익명의 파일 공유 웹 사이트. 이 웹사이트는 이전에 Mandiant가 2024년 Ivanti 장치를 표적으로 삼는 익스플로잇 캠페인의 일환으로 중국에 기반을 둔 위협 행위자로 의심되는 UNC5266에 의해 사용된 것으로 강조 되었습니다. UNC5266 파일 공유 웹사이트를 사용하여 멀웨어 페이로드를 스테이징하고 웹사이트의 특정 URL 경로에 대한 요청을 통해 curl wget 이를 검색하려고 시도한 것으로 알려졌습니다. Insikt Group 현재 UNC5266과 RedNovember 사이의 연관성을 입증할 증거는 없습니다.

최소 2025년 1월 23일부터 2025년 7월 22일까지 도메인의 랜딩 페이지에 중국어 메시지가 표시되며, 번역하면 다음과 같습니다: "'pan[.]xj[.]hk' 남용에 대한 성명서 사이버 공격에 의한 것입니다." 이 성명은 최근 공개적으로 보도된 사이버 위협 행위자들의 플랫폼 오용 의혹을 인정하며, 이러한 사건과 관련이 없으며 관련 법률과 규정을 준수하고 있음을 명시했습니다. 성명에 따르면, "다운로드 로직을 최적화하고 인증 확인을 추가"하는 작업을 수행하는 동안 일시적으로 플랫폼을 사용할 수 없습니다.

그림 5: pan[.]xj[.]hk에 대한 설명 메인 페이지(출처: urlscan.io)

포트스위거

레드노벰버는 포트스위거 웹사이트에 여러 차례 접속했습니다. 포트스위거는 웹 애플리케이션 보안 테스트 및 스캔을 위한 도구를 제공합니다. 주요 제품인 Burp Suite는 보안 연구자, 때로는 위협 행위자가 웹 애플리케이션의 취약점을 테스트하고 스캔하는 데 널리 사용됩니다.

파일 메일

RedNovember는 도메인 3008[.]filemail[.]com의 전용 Filemail 인스턴스에 연결했습니다. Filemail은 사용자가 이메일 또는 공유 가능한 링크를 통해 대용량 파일을 업로드, 전송 및 공유할 수 있는 클라우드 기반 파일 전송 서비스 솔루션입니다.

Acunetix

적어도 한 사례에서 레드노베일 코발트 스트라이크 C2 서버는 취약성 스캐너 도구인 Acunetix를 실행했는데, 이는 위협 그룹이 정찰 활동의 일환으로 이 도구를 사용하고 있을 수 있음을 시사합니다.

해커 타겟

RedNovember는 서버 중 하나를 사용하여 해커 대상[.]com 웹사이트가 2025년 4월에 출시됩니다. Hacker Target은 Nmap 및 ZMap 스캔, 도메인 및 서버 프로파일링 등 다양한 기능을 갖춘 무료 온라인 취약점 스캐너 플랫폼을 제공합니다.

웨이백 머신

2025년 4월, 레드노베리는 최소 두 대의 서버를 사용하여 인터넷 아카이브의 웨이백 머신으로 이동했습니다. Insikt Group은 위협 그룹이 아카이브에서 쿼리한 내용에 대한 가시성을 확보하지 못했습니다.

Crt[.]sh

또한 2025년 4월, 레드노버는 사용자가 도메인 또는 인증서 해시별로 TLS 인증서 로그를 조회할 수 있는 무료 온라인 TLS 인증서 투명성 서비스인 crt[.]sh에 액세스했습니다.

Gofile[.]io

또한 2025년 4월에는 RedNovember가 무료 클라우드 스토리지 서비스 gofile[.]io, 위협 행위자가 플랫폼에 보유하고 있는 계정에서 파일을 업로드하거나 탐색했을 수 있음을 시사합니다. 위에서 강조한 바와 같이 Rednovember는 이전에 앞서 언급한 pan[.]xj[.]홍콩.

완화 조치

조직은 다음과 같은 조치를 취하여 레드노베일 활동과 관련된 관찰된 TTP를 탐지하고 완화해야 합니다:

전망

RedNovember는 역사적으로 다양한 국가와 분야를 대상으로 폭넓고 변화하는 인텔리전스 요구 사항을 제시해 왔습니다. 이 단체의 활동 중 일부는 미국 DIB의 특정 단체를 표적으로 삼거나 중국의 대만 군사 훈련 기간에 대만을 표적으로 삼는 등 군사적 연관성 또는 군사적 인접 이해관계와 일치하는 것으로 보입니다. 그러나 로펌, 신문사, 미국의 한 기독교 교단을 타겟팅하는 등 이 패턴과 거의 일치하지 않는 다양한 타겟팅이 있습니다. 동남아시아에 기반을 둔 국제 다자간 기구와 동남아시아 여러 국가 및 남미 국가의 정부 부처를 표적으로 삼은 것, 2025년 4월 파나마 정부 부처 수십 곳을 정찰한 것 등 다른 레드노벰버 활동 클러스터는 외국 정부와 외교 정책에 대한 분명한 관심을 나타냅니다.

가시성과 수집을 기반으로 Insikt Group은 현재까지 RedNovember의 활동이 주로 미국, 동남아시아, 태평양 지역 및 남미를 포함한 여러 주요 지역에 초점을 맞추고 있음을 관찰했습니다. 표적과 피해자는 유럽과 아프리카에서도 확인되었지만, 이 지역을 향한 전체 활동량은 주요 초점 지역에서 관찰된 것보다 현저히 적습니다.

레드노브는 분야별 관점에서 태평양 도서국, 동남아시아, 남미의 정부 기관, 동남아시아의 정부 간 기구, 종교 단체를 지속적으로 타깃으로 삼았습니다. 그러나 이 그룹에 대한 첫 공개 보도 이후, 레드노벰버가 국방 및 항공우주 기관, 민간 부문, 최소 두 곳의 뉴스 매체로 공격 대상을 확대하는 것을 목격했습니다.

Insikt Group 는 다른 중국 국가 지원 위협 활동 그룹과 함께 레드노벰버가 출시 직후에도 계속해서 엣지 디바이스를 표적으로 삼고 취약점을 악용할 것으로 예상하고 있습니다.

부록 A: 침해 지표

도메인:
aeifile[.]offiec[.]us[.]kg
citrix[.]offiec[.]us[.]kg
cna[.]offiec[.]us[.]kg
download[.]offiec[.]us[.]kg
GP[.]OFFIEC[.]US[.]KG
login[.]offiec[.]us[.]kg
test[.]offiec[.]us[.]kg
VPN[.]OFFIEC[.]US[.]KG
vpn1[.]offiec[.]us[.]kg

레드노브 판테가나 C2 IP 주소:
45[.]61[.]187[.]124
198[.]98[.]50[.]218
198[.]98[.]53[.]163
198[.]98[.]61[.]155
209[.]141[.]37[.]254
205[.]185[.]126[.]208
205[.]185[.]124[.]24
209[.]141[.]42[.]131
209[.]141[.]46[.]83
209[.]141[.]57[.]116

레드넴버 코발트 스트라이크 C2 IP 주소:
47[.]103[.]218[.]35

레드노베일 코발트 스트라이크 C2 URL:
hxxp://47[.]103[.]218[.]35/pixel
hxxp://47[.]103[.]218[.]35/GSjY

레슬리로더 SHA256 해시:
06e87a03507213322d876b459194021f876ba90f85c5faa401820954045cd1d2
134ed0407956ff1ac59f38e89742e357cc3be565cbaff18b424ed1bcfd130978
2bee2cc42322e928bfa0650c5416b14bc0200f2d1156304179d63982baa835dc
8679a25c78e104c6e74996b75882e378f420614fe1379ee9c1e266a11ffa096d
ZIP 파일 SHA256 해시:
675874ac8fbe66e76244759ae398a4d30da84ef2435a1384c4be549ca9eba18b

PDF 루어 SHA256 해시:
1e37efcd3cd647e6ce5414ae8e353ca690c2d3f7a701a1cc2ec29a4813f5c90b

악성 폴리나 워드 문서 SHA256 해시입니다:
9a1077f57bac5610d44ac46a8958dd5469522a3db466f164f4dfeada73847b79
dba860617762bc713771de351026eb683546b37489fa0359064948f263438030

Appendix B: MITRE ATT&CK Techniques

전술: 기법
ATT&CK 코드
자원 개발: 인프라 확보: 가상 사설 서버
T1583.003
정찰: 피해자 네트워크 정보 수집 네트워크 보안 어플라이언스
T1590.006
초기 액세스: 퍼블릭 대면 애플리케이션 익스플로잇
T1190
초기 액세스: 스피어피싱 첨부 파일
T1566.001
실행: 사용자 실행: 악성 링크
T1204.001
실행: 사용자 실행: 악성 파일
T1204.002
명령 및 제어: 애플리케이션 계층 프로토콜: 웹 프로토콜
T1071.001
명령 및 제어: 비표준 포트
T1571

부록 C: 레슬리로더 야라 규칙

rule MAL_LESLIELOADER {
 meta:
 author = "Insikt Group, Recorded Future"
 date = "2024-11-14"
 description = "RedNovember에서 사용하는 LESLIELOADER 악성코드 탐지"
 version = "1.0"
        hash = "8679a25c78e104c6e74996b75882e378f420614fe1379ee9c1e266a11ffa096d"
 hash = "06e87a03507213322d876b459194021f876ba90f85c5faa401820954045cd1d2"
 malware = "LESLIELOADER"
 malware_id = "u-6JwI"
 category = "MALWARE"
 문자열:
       s1 = ".DecrptogAES"
 $s2 = ". UnPaddingText1"
 // AES 키 1
 $k1a = "LeslieCh"
 $k1b = "eungKwok"
 // AES 키 2
 $k2a = { 33 44 37 35 45 34 43 39 }
       k2b = { 42 33 32 41 42 45 31 37 }
 조건:
 uint16be(0) == 0x4d5a
 및 ($s*)
 및 ($k*)
}

부록 D: 레드노브 다이아몬드 침입 분석 모델