Le groupe RedNovember a exploité les appareils VPN et les pare-feu pour frapper les entrepreneurs de défense, les agences gouvernementales et les fabricants dans une campagne d’espionnage d’un an.
Un groupe de pirates parrainé par l’État chinois appelé RedNovember a mené une campagne d’espionnage mondiale ciblant les infrastructures critiques entre juin 2024 et juillet 2025, compromettant les entrepreneurs de défense, les agences gouvernementales et les grandes sociétés tout en exploitant des vulnérabilités plus rapidement que les organisations pourraient déployer des patchs de sécurité.
Les attaques comprenaient des violations d’au moins deux entrepreneurs de défense américaine et plus de 30 agences gouvernementales panaméennes dans le cadre d’un ciblage systématique aux États-Unis, en Europe, en Asie et en Amérique du Sud, selon la société de cybersécurité enregistrée à l’avenir.
Le groupe de menaces a déployé la porte dérobée Pantegana basée sur GO, la grève de Cobalt et Sparkrat pour maintenir l’accès persistant du réseau après avoir exploité des défauts des appareils d’entreprise, ont déclaré des chercheurs dans le rapport.
« Le groupe a élargi son remise de ciblage entre les organisations gouvernementales et du secteur privé, y compris les organisations de défense et aérospatiale, les organisations spatiales et les cabinets d’avocats », a ajouté le rapport.
Le groupe INSIKT de Future enregistré avait précédemment suivi l’activité sous la désignation TAG-100 avant de l’attribuer aux opérations chinoises parrainées par l’État. Microsoft suit également les activités qui se chevauchent de ce groupe en tant que Storm-2077.
Exploitation systématique des appareils réseau d’entreprise
RedNovember a systématiquement ciblé les appareils sur Internet qui forment l’épine dorsale de la sécurité des réseaux d’entreprise, compromettant avec succès les appareils VPN Sonicwall, les appareils de sécurité adaptatifs de Cisco, les systèmes Big-IP F5, les chercheurs Sophos SSL VPN et Fortinet Fortiate Firewalls, ont déclaré des chercheurs.
Les pirates ont exploité les vulnérabilités ont récemment révélé des vulnérabilités et des défauts plus anciens que les organisations n’avaient pas réussi à corriger. RedNovember a compromis deux entrepreneurs de défense américaine en avril 2025 en utilisant les vulnérabilités CVE-2023-46805 et CVE-2024-21887 dans les appareils électroménagers Ivanti – des défauts pour lesquels des correctifs étaient disponibles depuis janvier 2024, selon le rapport.
Un fabricant de moteurs européen qui produit des composants aérospatiaux a été violé par son appareil VPN Sonicwall, tandis que plusieurs cabinets d’avocats ont été victimes d’approvisionnements de réseaux, documentés par des chercheurs.
Fenêtre d’exploitation de vulnérabilité de 72 heures
RedNovember a démontré la capacité d’armement plus rapidement les vulnérabilités divulguées que la plupart des organisations ne pouvaient déploier des patchs, ont révélé des chercheurs. Lorsque les chercheurs ont publié le code de preuve de concept pour le point de contrôle VPN Vulnérabilité CVE-2024-24919 Le 30 mai 2024, RedNovember attaquait les systèmes vulnérables d’ici le 3 juin.
Cette campagne a frappé au moins 60 organisations à travers le Brésil, l’Allemagne, le Japon, le Portugal, le Royaume-Uni et les États-Unis dans les quatre jours, selon le rapport.
Des modèles similaires ont émergé avec les appareils GlobalProtect de Palo Alto, avec des vulnérabilités divulguées par RedNovember, les vulnérabilités divulguées dans les 72 heures suivant la disponibilité du code de l’exploitation publique, a montré la recherche.
Outils open source attribution masquée
Plutôt que de développer des logiciels malveillants personnalisés, RedNovember s’est largement appuyé sur des outils accessibles au public, y compris la porte dérobée Pantegana, le cadre de test de pénétration de cobalt et l’outil d’accès à distance Sparkrat, tous écrits dans le langage de programmation Go, ont trouvé des chercheurs.
Les pirates ont utilisé des variantes de l’outil leslieloader pour déployer Sparkrat sur des systèmes compromis, avec des échantillons détectés pour la première fois en mars 2024, selon l’analyse. RedNovember a également mis à profit les services légitimes, y compris des outils de numérisation de vulnérabilité comme les services Burp Suite et VPN de PortSwigger, y compris ExpressVPN et CloudFlare’s Warp, pour gérer leur infrastructure.
«L’utilisation stratégique des capacités open source par RedNovember permet au groupe de menaces de réduire les coûts opérationnels et d’observer l’attribution», a expliqué les chercheurs dans le rapport.
Ciblage global sur plusieurs secteurs
Le groupe a fortement ciblé les organisations aux États-Unis, à Taïwan et en Corée du Sud, tout en effectuant une surveillance des agences gouvernementales à travers le Panama et ciblant des entités en Europe, en Afrique, en Asie centrale et en Asie du Sud-Est, selon le rapport.
Les pirates ont maintenu un accès persistant à des réseaux compromis pendant des mois, certaines intrusions dues de juillet 2024 à mars 2025, selon la recherche. Une société informatique taïwanaise est restée compromise tout au long de cette période, les chercheurs suivant les communications avec des serveurs de commandement et de contrôle de Pantegana.
Le groupe de pirates a également ciblé les organisations gérant des négociations commerciales sensibles, compromettant avec succès un cabinet d’avocats américain impliqué dans la restructuration de la dette pour une entreprise chinoise et tente de violer un grand journal américain, selon le rapport.
Timing coordonné avec les événements géopolitiques
Plusieurs campagnes RedNovember ont coïncidé avec des développements géopolitiques importants, ont observé des chercheurs. La surveillance systématique de plus de 30 agences gouvernementales panaméennes s’est produite quelques semaines seulement après que le secrétaire américain à la Défense, Pete Hegseth, a annoncé un partenariat élargi pour contrer l’influence chinoise dans la zone du canal.
Le ciblage des installations de Taïwan, qui abritent à la fois des installations militaires et des opérations de recherche de semi-conducteurs, a coïncidé avec des exercices militaires chinois impliquant 90 navires de guerre autour de l’île en décembre 2024, indique le rapport.
« Le moment de la reconnaissance observée a suivi de près les événements géopolitiques et militaires de l’intérêt stratégique clé pour la Chine », ont écrit les chercheurs.
Le ciblage systématique des appareils orientés sur Internet sur plusieurs plates-formes de fournisseurs a indiqué que les organisations ont besoin de capacités de surveillance et de déploiement rapides améliorées pour les appareils d’infrastructure réseau, a suggéré le rapport. RedNovember « continuera certainement à cibler les appareils Edge et à exploiter les vulnérabilités peu de temps après leur sortie », a ajouté des chercheurs dans le rapport.
