RedNovemberグループがVPN機器やファイアウォールを悪用し、防衛請負業者、政府機関、製造業者を標的とした1年間にわたるスパイ活動を展開
RedNovemberと呼ばれる中国の国家支援型ハッカーグループが、2024年6月から2025年7月にかけて世界規模のスパイ活動を実施し、防衛請負業者、政府機関、大手企業を標的として、組織がセキュリティパッチを適用するよりも早く脆弱性を悪用して侵害しました。
サイバーセキュリティ企業Recorded Futureによると、これらの攻撃には、少なくとも2社の米国防衛請負業者と30以上のパナマ政府機関への侵入が含まれており、米国、ヨーロッパ、アジア、南米にわたる組織的な標的化の一環でした。
調査報告によれば、脅威グループはGo言語ベースのPanteganaバックドア、Cobalt Strike、SparkRATを展開し、企業機器の脆弱性を悪用した後もネットワークへの持続的なアクセスを維持しました。
「このグループは、防衛・航空宇宙組織、宇宙関連組織、法律事務所など、政府および民間セクターの組織への標的範囲を拡大しています」と報告書は付け加えています。
Recorded FutureのInsikt Groupは、以前この活動をTAG-100と呼んで追跡していましたが、その後中国の国家支援型作戦であると特定しました。Microsoftもこのグループによる重複する活動をStorm-2077として追跡しています。
企業ネットワーク機器の組織的な悪用
RedNovemberは、企業ネットワークセキュリティの基盤を成すインターネット接続機器を組織的に標的とし、SonicWall VPNデバイス、Ivanti Connect Secure機器、Cisco Adaptive Security Appliances、F5 BIG-IPシステム、Sophos SSL VPN製品、Fortinet FortiGateファイアウォールの侵害に成功したと研究者らは明らかにしました。
ハッカーは、最近公表された脆弱性と、組織がパッチを適用できていなかった古い脆弱性の両方を悪用しました。RedNovemberは、2025年4月に米国の2つの防衛請負業者を、Ivanti機器のCVE-2023-46805およびCVE-2024-21887の脆弱性を利用して侵害しました。これらの脆弱性には2024年1月からパッチが提供されていたと報告書は述べています。
航空宇宙部品を製造するヨーロッパのエンジンメーカーはSonicWall VPN機器を通じて侵害され、複数の法律事務所もネットワーク機器の侵害により被害を受けたことが記録されています。
72時間の脆弱性悪用ウィンドウ
RedNovemberは、ほとんどの組織がパッチを適用するよりも早く、新たに公開された脆弱性を武器化できる能力を示しました。研究者がCheck Point VPNの脆弱性CVE-2024-24919の概念実証コードを2024年5月30日に公開した際、RedNovemberは6月3日までに脆弱なシステムを攻撃していました。
このキャンペーンは、報告によれば、わずか4日間でブラジル、ドイツ、日本、ポルトガル、イギリス、アメリカの少なくとも60の組織を標的としました。
Palo Alto NetworksのGlobalProtect機器でも同様のパターンが見られ、RedNovemberは公開されたエクスプロイトコードが利用可能になってから72時間以内に脆弱性を継続的に悪用していたと研究結果は示しています。
RedNovemberはカスタムマルウェアを開発するのではなく、Panteganaバックドア、Cobalt Strikeペネトレーションテストフレームワーク、SparkRATリモートアクセスツールなど、Go言語で書かれた公開ツールに大きく依存していたことが判明しました。
ハッカーはLESLIELOADERツールの亜種を使って侵害したシステムにSparkRATを展開し、サンプルは2024年3月に初めて検出されたと分析されています。RedNovemberはまた、PortSwiggerのBurp Suiteなどの脆弱性スキャニングツールやExpressVPN、CloudflareのWarpなどのVPNサービスといった正規サービスもインフラ管理に活用していました。
「RedNovemberのオープンソース機能の戦略的活用により、脅威グループは運用コストを削減し、帰属の特定を難しくしています」と研究者は報告書で説明しています。
複数セクターにわたる世界的な標的化
報告書によれば、同グループは米国、台湾、韓国の組織を重点的に標的としつつ、パナマの政府機関の監視や、ヨーロッパ、アフリカ、中央アジア、東南アジアの組織も標的にしていました。
ハッカーは数か月にわたり侵害したネットワークへの持続的なアクセスを維持し、一部の侵入は2024年7月から2025年3月まで続いたと研究で明らかになりました。台湾のIT企業はこの期間を通じて侵害されており、研究者はPanteganaコマンド&コントロールサーバーへの通信を追跡していました。
ハッカーグループはまた、機密性の高いビジネス交渉を扱う組織も標的とし、中国企業の債務再編に関わる米国の法律事務所を侵害し、米国の大手新聞社への侵入も試みていたことが報告されています。
地政学的イベントと連動したタイミング
RedNovemberの複数のキャンペーンは、重要な地政学的動向と時期を同じくしていたと研究者は指摘しています。30以上のパナマ政府機関への組織的監視は、米国防長官ピート・ヘグセスが運河地帯での中国の影響力に対抗するためのパートナーシップ拡大を発表した数週間後に行われました。
報告書によれば、軍事施設と半導体研究施設の両方がある台湾の施設への標的化は、2024年12月に中国が島周辺に90隻の軍艦を展開した軍事演習と同時期に発生しました。
「観測された偵察活動のタイミングは、中国にとって戦略的に重要な地政学的・軍事的イベントに密接に続いていました」と研究者は記しています。
複数ベンダーのインターネット接続機器を組織的に標的としたことは、組織がネットワークインフラ機器の監視強化と迅速なパッチ適用能力を高める必要があることを示唆していると報告書は指摘しています。RedNovemberは「今後もエッジデバイスを標的とし、脆弱性公開直後に悪用を続ける可能性が極めて高い」と研究者は報告書で述べています。
