La firma de ciberseguridad Recorded Future informó que un grupo chino de ciberespionaje, conocido como RedNovember, ha comprometido al menos a dos contratistas de defensa de Estados Unidos, además de múltiples organizaciones en América, Europa, Asia y África.
Entre julio de 2024 y julio de 2025, RedNovember se centró en objetivos de alto perfil en sectores gubernamentales, de defensa, aeroespacial y legales alrededor del mundo. Para obtener acceso inicial, el grupo explotó vulnerabilidades en dispositivos de borde de fabricantes como Cisco, F5, Fortinet, Ivanti, Palo Alto Networks, SonicWall y Sophos, así como en instancias de Outlook Web Access (OWA).
Una vez dentro, RedNovember desplegó un backdoor basado en Go llamado Pantegana, junto con herramientas de seguridad ofensiva como Cobalt Strike, SparkRAT y diversas herramientas de código abierto para realizar tareas de reconocimiento y seguimiento. El grupo utiliza constantemente Pantegana como su framework de comando y control (C2) y se apoya en servicios de VPN, incluyendo ExpressVPN y probablemente Warp VPN, para gestionar su infraestructura de forma remota.
Durante el último año, el grupo ha apuntado específicamente a organizaciones gubernamentales y diplomáticas, incluyendo ministerios de relaciones exteriores en el sudeste asiático y Sudamérica, así como portales de OWA de un país sudamericano antes de una visita estatal a China, y una organización intergubernamental del sudeste asiático con acceso prolongado.
RedNovember también atacó a contratistas de defensa y aeroespaciales de EE. UU., otras organizaciones de defensa globales y un centro europeo de investigación espacial. En abril de 2025, el grupo realizó un reconocimiento sobre un contratista militar y de ingeniería estadounidense, observando comunicación con dos puntos de acceso ICS VPN accesibles desde Internet, aunque no hubo evidencia suficiente para confirmar una compromisión completa. Además, RedNovember atacó espacios IP vinculados a una institución educativa superior asociada a la Marina de EE. UU.
Los objetivos del grupo incluyen también fabricantes europeos, firmas legales globales, empresas de TI en Taiwán, compañías de petróleo y gas estadounidenses, instituciones financieras en Fiji, medios de comunicación y autoridades de transporte, así como instituciones de investigación científica y nuclear en Corea del Sur.
Las campañas de RedNovember se enfocan principalmente en reconocimiento y explotación de vulnerabilidades recién divulgadas en dispositivos de borde, incluyendo firewalls GlobalProtect, Ivanti Connect Secure, gateways VPN de Check Point, portales Sophos UTM, instancias SonicWall SSL-VPN y dispositivos F5 BIG-IP.
Recorded Future advierte que RedNovember, junto con otros grupos patrocinados por el estado chino, probablemente continuará atacando dispositivos de borde y explotando vulnerabilidades poco después de su publicación, lo que subraya la amenaza cibernética constante a la infraestructura crítica y a las organizaciones de defensa a nivel mundial.
Fuente: https://www.securityweek.com/chinese-cyberspies-hacked-us-defense-contractors