Um grupo de hackers anteriormente conhecido por atacar organizações governamentais e privadas em diferentes continentes foi oficialmente classificado como um invasor patrocinado pelo Estado chinês. A descoberta reforça o alerta global sobre a crescente sofisticação das campanhas de espionagem digital ligadas a Pequim.
A empresa de cibersegurança Recorded Future, que antes monitorava as atividades do grupo sob o nome TAG-100, confirmou agora a identificação como RedNovember. A Microsoft também rastreia a mesma ameaça sob a nomenclatura Storm-2077.
Entre junho de 2024 e julho de 2025, o RedNovember lançou ataques contra dispositivos de perímetro de organizações de alto perfil em todo o mundo, usando o backdoor Pantegana, desenvolvido em Go, e a ferramenta legítima Cobalt Strike em suas operações. Os alvos incluíram governos, empresas de defesa, organizações aeroespaciais, escritórios de advocacia e até entidades espaciais.
Alvos e regiões mais afetadas
Segundo o relatório, possíveis vítimas incluem um Ministério das Relações Exteriores da Ásia Central, uma agência de segurança africana, uma diretoria governamental europeia e um governo do Sudeste Asiático. Nos Estados Unidos, o grupo é suspeito de ter comprometido duas empresas de defesa, além de um fabricante europeu de motores e uma entidade intergovernamental de comércio.
Grande parte dos ataques concentrou-se entre junho de 2024 e maio de 2025 em países como Panamá, EUA, Taiwan e Coreia do Sul. Em abril de 2025, por exemplo, a Recorded Future registrou ataques a dispositivos Ivanti Connect Secure usados por um jornal e uma empresa militar nos Estados Unidos. O grupo também teria mirado portais do Microsoft Outlook Web Access (OWA) de um país sul-americano, em um momento estratégico que antecedeu uma visita oficial à China.
Técnicas e ferramentas utilizadas
O RedNovember explora vulnerabilidades conhecidas em soluções de segurança de perímetro, como VPNs, firewalls, balanceadores de carga e servidores de e-mail, de fabricantes como Check Point, Palo Alto Networks, Cisco, Citrix, F5, Fortinet, Ivanti e SonicWall. Após a invasão inicial, os hackers utilizam ferramentas como Spark RAT e Pantegana para manter persistência e acesso prolongado.
Outro diferencial é a adoção de ferramentas de código aberto, como Pantegana e Spark RAT, para mascarar sua atividade e dificultar a atribuição. Os ataques também incluem o uso do LESLIELOADER, um carregador baseado em Go, para lançar RATs ou beacons do Cobalt Strike. Além disso, os invasores empregam serviços de VPN como ExpressVPN e Warp VPN para gerenciar servidores e ocultar suas conexões.
Espionagem global com objetivos estratégicos
A diversidade dos alvos reflete a amplitude das operações de espionagem cibernética patrocinadas pela China, com foco em setores críticos e regiões de alta relevância geopolítica.
“Historicamente, a RedNovember tem como alvo uma gama diversificada de países e setores, o que sugere requisitos de inteligência amplos e mutáveis”, destacou a Recorded Future em comunicado.
