El imperio en la sombra "RedNovember" se infiltró en el sector de defensa — un año de operaciones encubiertas, las pistas apuntan a un solo país.
Ministerios y agencias espaciales, entre las víctimas; los motivos reales siguen sin esclarecerse.
La agrupación RedNovember, que los especialistas de Recorded Future anteriormente designaban como TAG-100, ha sido oficialmente reconocida como un colectivo ciberespía separado que opera en interés de China. Microsoft la rastrea bajo el nombre en clave Storm-2077. Desde junio de 2024 hasta julio de 2025, los miembros de esta estructura atacaron dispositivos de red de organizaciones en África, Asia, Norte y Sudamérica, así como en Oceanía. Para establecerse en la infraestructura se usó el backdoor Pantegana, escrito en Go, y la conocida herramienta Cobalt Strike.
La lista de objetivos se amplió notablemente: además de organismos gubernamentales, la atención de los atacantes se centró en el sector de defensa y aeroespacial, agencias espaciales y despachos jurídicos. Entre las víctimas se encuentran, presuntamente, un ministerio de Asuntos Exteriores en Asia Central, un servicio de inteligencia en África, una agencia gubernamental europea y entidades en el Sudeste Asiático. Además, se detectaron indicios de ataques a dos contratistas del sector de defensa estadounidense, a un fabricante europeo de motores y a una organización internacional dedicada a asuntos comerciales.
La primera mención de RedNovember apareció hace más de un año, cuando Recorded Future registró que usaron Pantegana y el troyano Spark RAT para asentarse en los sistemas. Los atacantes obtenían acceso explotando vulnerabilidades conocidas en dispositivos de Check Point, Cisco, Citrix, F5, Fortinet, Ivanti, Palo Alto Networks y SonicWall. El objetivo principal era comprometer las medidas de seguridad — VPN, cortafuegos, equilibradores de carga, servidores de correo y sistemas de virtualización. Esa táctica es característica de hackers chinos que buscan una presencia a largo plazo en redes clave.
Una característica distintiva de esta campaña fue el uso de herramientas abiertas como Pantegana y Spark RAT. Su empleo permite ocultar el verdadero origen de los ataques y dificultar la atribución. En la cadena también se usó un cargador modificado, LESLIELOADER, que iniciaba Spark RAT o balizas de Cobalt Strike en los nodos comprometidos. Para gestionar la infraestructura, RedNovember se conectaba activamente a través de los servicios VPN ExpressVPN y Warp VPN, separando servidores para explotar dispositivos vulnerables y para el intercambio de datos con las puertas traseras.
De junio de 2024 a mayo de 2025, los hackers prestaron mayor atención a Panamá, Estados Unidos, Taiwán y Corea del Sur. En abril de 2025 se registraron ataques contra Ivanti Connect Secure, que servían a un diario estadounidense y a un contratista del sector de la ingeniería de defensa. Además, se detectó interés por portales de Outlook Web Access de un país de Sudamérica en la víspera del viaje oficial de su delegación a China.
En conjunto, los datos recopilados muestran que RedNovember opera a escala global, modificando de forma flexible su conjunto de objetivos según las tareas de inteligencia. Las principales regiones de enfoque siguen siendo Estados Unidos, el Sudeste Asiático, la región del Pacífico y Sudamérica.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!