红十一月全球网络攻击：中国黑客组织利用漏洞入侵关键基础设施

攻击活动概述

红十一月(RedNovember)，一个中国国家支持的网络间谍组织，在2024年6月至2025年7月期间针对全球政府和关键私营部门网络发动攻击。该组织利用存在漏洞的互联网设备部署基于Go语言的后门程序Pantegana，以及其他攻击性安全工具，包括Cobalt Strike和SparkRAT。

攻击目标与范围

主要受害行业

• 航空航天和国防
• 政府部门
• 专业服务公司

地理分布

• 美国：28个组织
• 日本：11个组织
• 英国：7个组织
• 德国和巴西：各6个组织
• 台湾、韩国和葡萄牙：各5个组织
• 意大利：3个组织
• 加拿大、印度尼西亚、柬埔寨和阿根廷：各2个组织
• 越南和塔吉克斯坦：各1个组织
• 其他地区：13个组织

攻击技术细节

初始入侵手段

红十一月组织利用多种网络设备的漏洞进行初始入侵：

Ivanti Connect Secure VPN设备

• 目标包括：美国专业工程和军事承包商、与美国海军相关的高等教育机构、美国主要报社
• 利用CVE-2025-22457和CVE-2025-0282等关键漏洞

SonicWall VPN设备

• 目标包括：美国律师事务所、欧洲发动机制造商、英国国防承包商

其他目标产品

• Cisco Adaptive Security Appliance (ASA)
• F5 BIG-IP
• Palo Alto Networks GlobalProtect
• Sophos SSL VPN
• Fortinet FortiGate实例
• Outlook Web Access (OWA)实例

恶意软件部署

成功获得初始访问后，红十一月部署了多种恶意软件：

Pantegana后门

• 基于开源Go语言编写
• 支持跨操作系统运行

SparkRAT远程访问工具

• 同样使用Go语言开发
• 提供远程控制能力

Cobalt Strike

• 合法的渗透测试工具
• 已成为网络犯罪分子和国家支持攻击者的"首选工具"

地缘政治背景

巴拿马运河相关活动

2025年4月，红十一月针对30多个巴拿马政府组织进行侦察活动。这一时间点紧随美国国防部长皮特·赫格塞斯2025年4月初访问巴拿马之后，可能与特朗普总统在2025年1月和2月关于美国有意控制巴拿马运河的言论有关。

相关威胁活动

ArcaneDoor行动

• 与红十一月攻击活动分开跟踪
• 涉及Cisco ASA和Firepower Threat Defense设备的漏洞利用
• 攻击者能够修改只读存储器(ROM)，实现持久化访问

UNC5221组织

• Google揭露的另一个疑似中国间谍入侵活动
• 与红十一月和ArcaneDoor活动分别跟踪

安全建议与响应

美国网络安全和基础设施安全局(CISA)要求联邦机构在24小时内：

• 识别受影响的Cisco ASA和FTD设备
• 检查日志中的入侵迹象
• 修补CVE-2025-20333和CVE-2025-20362漏洞

专家建议政府机构加强威胁狩猎，“立即在其网络和供应链中清除这些后门”。