Čínská hackerská skupina RedNovember útočí na vládní instituce po celém světě | IT SECURITY NETWORK NEWS

IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Čínská hackerská skupina RedNovember útočí na vládní instituce po celém světě

Hackerská skupina RedNovember, dříve známá jako TAG-100, byla identifikována jako čínský státem podporovaný aktér zaměřený na kyberšpionáž proti vládním a soukromým organizacím po celém světě. Podle analýzy společnosti Recorded Future, vlastněné Mastercard, využívá RedNovember kombinaci nástrojů Pantegana a Cobalt Strike, které slouží k průniku do sítí a udržení dlouhodobého přístupu. Microsoft sleduje stejnou skupinu pod označením Storm-2077.

Mezi červnem 2024 a červencem 2025 útočníci cílili na periferní zařízení významných institucí v USA, Evropě, Asii, Africe i Oceánii. Mezi oběťmi jsou mimo jiné ministerstvo zahraničí ve střední Asii, africká bezpečnostní agentura, evropský vládní úřad či obranní dodavatelé ve Spojených státech.

RedNovember získává přístup zneužíváním známých zranitelností v zařízeních firem Check Point (CVE-2024-24919), Palo Alto Networks (CVE-2024-3400), Cisco, Fortinet, Citrix, Ivanti, F5 a SonicWall. Útoky se soustředí na VPN brány, firewally, e-mailové servery a další síťová řešení – tedy systémy, které jsou často vystaveny internetu a umožňují dlouhodobé skryté proniknutí.

Skupina využívá open-source nástroje Pantegana a Spark RAT, jejichž volná dostupnost pomáhá maskovat původ útoků. K šíření malwaru nasazuje také Go-based loader LESLIELOADER, který spouští Cobalt Strike Beacons nebo Spark RAT.

Podle zjištění Recorded Future útočníci používají VPN služby, například ExpressVPN a Warp VPN, ke správě a propojení dvou sad serverů – jedné pro zneužívání zranitelných zařízení a druhé pro řízení infikovaných systémů.

V období mezi červnem 2024 a květnem 2025 se RedNovember zaměřil především na cíle v Panamě, USA, Tchaj-wanu a Jižní Koreji. Na jaře 2025 byl zaznamenán útok na zařízení Ivanti Connect Secure spojené s americkým mediálním domem a vojenským dodavatelem. Analytici rovněž zjistili pokusy o přístup k portálům Microsoft Outlook Web Access jednoho jihoamerického státu krátce před jeho oficiální návštěvou Číny.

„RedNovember se dlouhodobě zaměřuje na široké spektrum zemí a odvětví, což naznačuje proměnlivé zpravodajské cíle a dlouhodobou podporu ze strany státu,“ uvedla společnost Recorded Future. Hlavní aktivity skupiny se soustředí na USA, jihovýchodní Asii, oblast Tichomoří a Jižní Ameriku.

Zdroj: The Hacker News

Čína, hacking, RedNovember, VPN
security

Škodlivé rozšíření VSX SleepyDuck využívá Ethereum k udržení svého řídicího serveru při životě

security

Škodlivé rozšíření VSX SleepyDuck využívá Ethereum k udržení svého řídicího serveru při životě

Výzkumníci v oblasti kybernetické bezpečnosti upozornili na nové škodlivé rozšíření v registru Open VSX, které obsahuje trojského koně vzdáleného přístupu s názvem SleepyDuck. Podle Johna

ČÍST DÁLE »

Radek Vyškovský 14 listopadu, 2025

Jak kontinuální správa expozic transformuje bezpečnostní operace

security

Jak kontinuální správa expozic transformuje bezpečnostní operace

Bezpečnostní operační centra (SOC) jsou dnes zahlcena. Analytici denně zpracovávají tisíce upozornění a tráví značnou část času pronásledováním falešných poplachů a reaktivním přizpůsobováním detekčních pravidel.

ČÍST DÁLE »

Radek Vyškovský 13 listopadu, 2025

Kyberzločinci zneužívají nástroje pro vzdálenou správu k infiltraci logistických a přepravních sítí

security

Kyberzločinci zneužívají nástroje pro vzdálenou správu k infiltraci logistických a přepravních sítí

Kyberzločinci stále častěji zaměřují své útoky na kamionové dopravce a logistické společnosti s cílem infikovat je softwarem pro vzdálené monitorování a správu (RMM) za účelem

ČÍST DÁLE »

Radek Vyškovský 12 listopadu, 2025