Un presunto grupo de actividades de ciberespionaje que anteriormente se había descubierto que tenía como objetivo a organizaciones gubernamentales y del sector privado de todo el mundo en África, Asia, Norteamérica, Sudamérica y Oceanía ha sido evaluado como un actor de amenazas patrocinado por el estado chino.
Recorded Future, que rastreaba la actividad bajo el nombre ETIQUETA-100 , ahora lo ha graduado en un grupo de hackers denominado Noviembre rojo . Microsoft también lo rastrea como Tormenta-2077 .
«Entre junio de 2024 y julio de 2025, RedNovember (que se superpone con Storm-2077) atacó los dispositivos perimetrales de organizaciones de alto perfil de todo el mundo y utilizó Pantegana y Cobalt Strike, con sede en Go, como parte de sus intrusiones», dijo la empresa propiedad de Mastercard dijo en un informe compartido con The Hacker News.
«El grupo ha ampliado su mandato de selección de objetivos a organizaciones gubernamentales y del sector privado, incluidas las organizaciones aeroespaciales y de defensa, las organizaciones espaciales y los bufetes de abogados».
Algunas de las posibles nuevas víctimas del actor de amenazas incluyen un ministerio de asuntos exteriores en Asia central, una organización de seguridad estatal en África, una dirección gubernamental europea y un gobierno del sudeste asiático. También se cree que el grupo ha traicionado al menos a dos contratistas de defensa estadounidenses (EE. UU.), a un fabricante europeo de motores y a un organismo de cooperación intergubernamental centrado en el comercio en el sudeste asiático.
Recorded Future documentó por primera vez RedNovember hace más de un año, detallando su uso del marco posterior a la explotación de Pantegana y Spark RAT tras la conversión en armas de fallos de seguridad conocidos en varios dispositivos perimetrales conectados a Internet de Check Point ( CVE-2024-24919 ), Cisco, Citrix, F5, Fortinet, Ivanti y Palo Alto Networks ( CVE-2024-3400 ) y SonicWall para el acceso inicial.
El enfoque en centrarse en soluciones de seguridad como las VPN, los firewalls, los balanceadores de carga, la infraestructura de virtualización y los servidores de correo electrónico refleja una tendencia que ha sido cada vez más adoptados por parte de otros grupos de hackers patrocinados por el estado chino para irrumpir en redes de interés y mantener la persistencia durante largos períodos de tiempo.
Un aspecto destacable del oficio del actor de amenazas es el uso de Pantegana y Spark RAT, ambas herramientas de código abierto. Es probable que la adopción sea un intento de reutilizar los programas existentes en beneficio propio y confundir los esfuerzos de atribución, un rasgo distintivo de los actores del espionaje.
Los ataques también implican el uso de una variante del cargador basado en Go, disponible públicamente. LESLIE LOADER para lanzar Spark RAT o Cobalt Strike Beacons en dispositivos comprometidos.
Se dice que RedNovember utiliza servicios de VPN como ExpressVPN y Warp VPN para administrar y conectarse a dos conjuntos de servidores que se utilizan para la explotación de dispositivos conectados a Internet y comunicarse con Pantegana, Spark RAT y Cobalt Strike, otro programa legítimo del que han abusado ampliamente actores malintencionados.
Entre junio de 2024 y mayo de 2025, gran parte de los ataques del grupo de hackers se centraron en Panamá, EE. UU., Taiwán y Corea del Sur. Recientemente, en abril de 2025, se descubrió que tenía como objetivo dispositivos Ivanti Connect Secure asociados a un periódico y a un contratista militar y de ingeniería, ambos con sede en EE. UU.
Recorded Future dijo que también identificó al adversario que probablemente atacó los portales Microsoft Outlook Web Access (OWA) pertenecientes a un país sudamericano antes de la visita de estado de ese país a China.
«Históricamente, RedNovember se ha centrado en una amplia gama de países y sectores, lo que sugiere requisitos de inteligencia amplios y cambiantes», señaló la empresa. «La actividad de RedNovember hasta la fecha se ha centrado principalmente en varias zonas geográficas clave, como EE. UU., el sudeste asiático, la región del Pacífico y Sudamérica».