Vào tháng 7 năm 2024, Insikt Group của Recorded Future đã công khai tiết lộ TAG-100, một chiến dịch gián điệp mạng sử dụng backdoor Pantegana dựa trên Go để nhắm mục tiêu vào các tổ chức chính phủ, liên chính phủ và tư nhân có tầm ảnh hưởng cao trên toàn cầu. Các bằng chứng mới đã quy kết TAG-100 cho một nhóm tác nhân đe dọa được chính phủ Trung Quốc bảo trợ, được đặt tên là RedNovember. Nhóm này đại diện cho một mối đe dọa mạng đáng kể trong bối cảnh an ninh thông tin hiện nay.

Hoạt Động Mở Rộng và Mục Tiêu của RedNovember

Trong khoảng thời gian từ tháng 6 năm 2024 đến tháng 7 năm 2025, nhóm RedNovember, có sự trùng lặp với Storm-2077, đã mở rộng các hoạt động của mình. Chúng tập trung vào việc nhắm mục tiêu vào các thiết bị biên (perimeter appliances) và giải pháp VPN, triển khai Pantegana và Cobalt Strike để thiết lập sự hiện diện bền vững trong hệ thống.

Các Nạn Nhân Chính

Dữ liệu tình báo mạng của Recorded Future đã xác định nhiều nạn nhân tiềm năng. Các mục tiêu này bao gồm các bộ ngoại giao ở Trung Á và Đông Nam Á, một tổ chức an ninh nhà nước ở Châu Phi, một cơ quan trực thuộc chính phủ Châu Âu, hai nhà thầu quốc phòng của Hoa Kỳ, một nhà sản xuất động cơ Châu Âu và một cơ quan liên chính phủ tập trung vào thương mại ở Đông Nam Á.

RedNovember tiếp tục mở rộng mục tiêu sang Cơ sở Công nghiệp Quốc phòng Hoa Kỳ (U.S. Defense Industrial Base) và các tổ chức hàng không vũ trụ và không gian Châu Âu. Các chiến dịch này được thực hiện thông qua tấn công lừa đảo có chủ đích (spearphishing) và khai thác lỗ hổng.

Kỹ Thuật và Công Cụ Khai Thác

Các thiết bị biên như tường lửa (firewalls), VPN, bộ cân bằng tải (load balancers) và máy chủ email vẫn là vector truy cập ban đầu chính mà RedNovember khai thác. Việc sử dụng các PoC (Proof-of-Concept) khai thác công khai và các backdoor mã nguồn mở giúp nhóm giảm chi phí vận hành và che giấu danh tính.

Công Cụ và Mã Độc

Nhóm này tiếp tục dựa vào các framework C2 (Command and Control) mã nguồn mở và thương mại. Các công cụ chính được sử dụng bao gồm Pantegana, Cobalt Strike và SparkRAT. Chúng được sử dụng để thực hiện trinh sát, giành quyền truy cập ban đầu và có khả năng thỏa hiệp hệ thống.

Dữ liệu từ Insikt Group xác nhận việc tiếp tục sử dụng Pantegana và Cobalt Strike, được quản lý thông qua ExpressVPN và có thể là các VPN thương mại khác. Thông tin chi tiết về việc khai thác Cobalt Strike có thể được tìm thấy tại nguồn này: Cobalt Strike Exploitation by Hackers Drops.

Hai trình tải dựa trên Go (LESLIELOADER) đã được quan sát thấy sideload SparkRAT và Cobalt Strike Beacon vào bộ nhớ, với các máy chủ được lưu trữ trên ALIBABA-CN-NET.

Khai Thác Lỗ Hổng CVE

Vào tháng 4 năm 2025, RedNovember đã thực hiện một chiến dịch tập trung vào các thiết bị VPN Ivanti Connect Secure. Nhóm này đã quét các mục tiêu như một tờ báo lớn của Hoa Kỳ và một nhà thầu kỹ thuật và quân sự chuyên biệt. Các thông tin về lỗ hổng Ivanti 0-day RCE có thể tham khảo tại: Ivanti 0-day RCE flaw.

Ngoài ra, nhóm còn sử dụng các tài liệu mồi nhử độc hại dạng Word và PDF. Chúng khai thác lỗ hổng CVE Follina (CVE-2022-30190) để phân phối LESLIELOADER, ngụy trang dưới dạng các bản vá bảo mật của VMware.

Việc RedNovember sử dụng các công cụ mã nguồn mở cho phép mở rộng nhanh chóng các chiến dịch. Đồng thời, những thay đổi gián đoạn sang các công cụ thương mại cho thấy một tư thế hoạt động linh hoạt.

Các Vụ Tấn Công Đáng Chú Ý và Bối Cảnh Địa Chính Trị

Các nạn nhân của RedNovember trải rộng trên nhiều lĩnh vực bao gồm chính phủ, quốc phòng, hàng không vũ trụ, pháp lý và công nghệ. Các sự cố đáng chú ý thường trùng khớp với các sự kiện địa chính trị có lợi ích chiến lược đối với Trung Quốc.

Ví dụ, các cuộc xâm nhập đã trùng với các cuộc tập trận quân sự quanh Đài Loan vào tháng 12 năm 2024 và các chuyến thăm ngoại giao của Hoa Kỳ tới Panama vào tháng 4 năm 2025. Một vụ việc khác liên quan đến thỏa thuận bán hai cảng cho một tập đoàn do công ty đầu tư BlackRock của Hoa Kỳ và MSC (Mediterranean Shipping Company) đứng đầu, dự kiến ​​ký kết vào tuần đầu tiên của tháng 4 năm 2025.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp liên quan đến các hoạt động của RedNovember bao gồm:

• Tác nhân đe dọa: RedNovember (còn được biết đến là TAG-100, Storm-2077).
• Mã độc và backdoor: Pantegana (Go-based), Cobalt Strike, SparkRAT, LESLIELOADER (Go-based loader).
• Lỗ hổng khai thác:
  • CVE-2022-30190 (Follina) thông qua tài liệu Word/PDF độc hại.
  • Lỗ hổng Ivanti Connect Secure VPN (Zero-day RCE) nhắm vào thiết bị VPN Ivanti Connect Secure.
• Cơ sở hạ tầng C2:
  • Các miền C2 cho Pantegana và SparkRAT.
  • Máy chủ lưu trữ trên ALIBABA-CN-NET.
  • Sử dụng ExpressVPN và các VPN thương mại khác để quản lý C2.
• Vector truy cập ban đầu: Các thiết bị biên (firewalls, VPNs, load balancers, email servers), spearphishing.

Biện Pháp Phòng Ngừa và Ứng Phó Để Chống Lại RedNovember

Các tổ chức nên tích hợp tình báo mối đe dọa (threat intelligence) để phát hiện các miền C2 của Pantegana và SparkRAT theo thời gian thực. Việc ưu tiên vá các lỗ hổng RCE có rủi ro cao trên các thiết bị biên là cực kỳ quan trọng.

Đồng thời, cần thực thi kiểm soát truy cập nghiêm ngặt trên các giao diện quản lý VPN và tường lửa. Phân đoạn mạng, xác thực đa yếu tố (multi-factor authentication) và tăng cường ghi nhật ký (logging) trên các thiết bị biên là những biện pháp thiết yếu để phát hiện và ứng phó với các hoạt động sau khi khai thác thành công.

Việc mở rộng liên tục của RedNovember trên các khu vực địa lý và lĩnh vực khác nhau nhấn mạnh các điểm yếu dai dẳng trong các thiết bị tiếp xúc với internet. Với các khai thác mới liên tục xuất hiện và mã PoC có sẵn, RedNovember—và các tác nhân được nhà nước bảo trợ tương tự—sẵn sàng duy trì mục tiêu tấn công tích cực vào các thiết bị biên. Do đó, sự cảnh giác và một chiến lược phòng thủ theo chiều sâu (defense-in-depth) sẽ là yếu tố cần thiết để ngăn chặn các nỗ lực xâm nhập mạng trong tương lai.