Netcrook Logo
👤 CIPHERWARDEN
🗓️ 18 Oct 2025   🗂️ Threats    

RedNovember : Les hackers fantômes qui franchissent les pare-feux du monde

Le groupe RedNovember, soutenu par l’État chinois, infiltre discrètement les réseaux gouvernementaux et d’entreprise à travers le monde, utilisant des outils open source pour échapper à la détection et semer le chaos numérique.

En Bref

  • RedNovember est un groupe de hackers parrainé par l’État chinois, également connu sous le nom de TAG-100 ou Storm-2077.
  • Les cibles s’étendent sur cinq continents, incluant des sous-traitants de la défense américaine et des ministères en Asie, Afrique et Europe.
  • Ils exploitent des vulnérabilités dans des dispositifs exposés à Internet tels que les pare-feux, VPN et serveurs de messagerie.
  • Les outils open source Pantegana et Spark RAT sont utilisés pour rester furtifs et brouiller les pistes des enquêteurs.
  • Les campagnes récentes se sont concentrées sur le Panama, les États-Unis, Taïwan et la Corée du Sud, avec des motifs d’espionnage suspectés.

Dans l’ombre : une nouvelle génération d’espionnage cybernétique

Imaginez un cambrioleur numérique qui se faufile au-delà des portes verrouillées non pas par la force brute, mais en exploitant des fissures oubliées dans les fondations. Tel est le mode opératoire de RedNovember - une équipe d’espionnage cybernétique désormais liée à l’appareil d’État chinois. Au cours de l’année écoulée, ce groupe a discrètement franchi les remparts virtuels de gouvernements et d’entreprises du monde entier, des ministères d’Asie centrale aux sous-traitants de la défense américaine et aux industriels européens.

Repéré pour la première fois par la société de cybersécurité Recorded Future (sous le nom de TAG-100) et suivi par Microsoft (sous le nom de Storm-2077), RedNovember est devenu une menace mondiale sérieuse. Leur arsenal est à la fois sophistiqué et rusé : au lieu de s’appuyer sur des malwares coûteux sur mesure, ils utilisent des programmes accessibles publiquement comme Pantegana (une porte dérobée basée sur Go) et Spark RAT (un cheval de Troie d’accès à distance). En détournant ces outils publics, RedNovember se fond dans le paysage numérique, rendant beaucoup plus difficile pour les défenseurs de retracer leur origine - une tactique classique d’espionnage.

Comment ils s’introduisent : exploiter la périphérie numérique

Les attaques de RedNovember commencent par cibler les murs mêmes censés protéger les réseaux. Ils exploitent des failles de sécurité connues dans les équipements de périmètre - pare-feux, VPN et répartiteurs de charge - de grands fournisseurs comme Cisco, Palo Alto Networks et Check Point. Ces dispositifs sont comme les ponts-levis et douves du monde numérique ; lorsqu’ils ne sont pas mis à jour, ils deviennent des passages secrets pour les intrus.

Une fois à l’intérieur, les attaquants déploient leurs outils open source pour établir des points d’ancrage, se déplacer latéralement et exfiltrer discrètement des informations sensibles. L’utilisation de Cobalt Strike - un outil de test de sécurité légitime souvent détourné par les hackers - ajoute une couche supplémentaire de confusion pour les défenseurs. Pour masquer leurs traces, RedNovember fait transiter ses opérations par des services VPN commerciaux tels qu’ExpressVPN et Warp VPN, brouillant encore davantage les pistes pour quiconque tente de remonter à leur source.

Un schéma se dessine : l’espionnage à l’échelle mondiale

RedNovember n’est pas seul à adopter cette approche. Les groupes de hackers soutenus par l’État chinois ont de plus en plus recours à la stratégie qui consiste à cibler l’infrastructure de sécurité pour infiltrer des réseaux de grande valeur et y persister sans être détectés. Par le passé, des groupes similaires comme APT41 et Hafnium ont mené des attaques à grande échelle en utilisant des tactiques comparables, alignant souvent leurs opérations sur des événements géopolitiques ou des négociations commerciales.

Les campagnes récentes de RedNovember ont même visé les portails de messagerie de gouvernements juste avant des visites diplomatiques en Chine, suggérant un lien étroit entre les opérations cyber et les priorités du renseignement d’État. L’étendue de leurs cibles - défense, aérospatiale, juridique et secteurs intergouvernementaux - souligne un ensemble large et mouvant d’objectifs de renseignement.

À mesure que les défenses numériques du monde se complexifient, les attaquants qui cherchent à les contourner deviennent eux aussi plus sophistiqués. La campagne de RedNovember rappelle crûment que, dans le domaine de l’espionnage cybernétique, la frontière entre outils légitimes et intentions malveillantes est extrêmement mince - et que la bataille pour les secrets du monde se joue dans l’ombre, un pare-feu à la fois.

WIKICROOK

  • Pantegana : Pantegana est une porte dérobée open source écrite en Go, permettant aux attaquants d’accéder et de contrôler à distance des ordinateurs compromis sans le consentement de l’utilisateur.
  • Remote Access Trojan (RAT) : Un cheval de Troie d’accès à distance (RAT) est un logiciel malveillant qui permet aux attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.
  • Cobalt Strike : Cobalt Strike est un outil de test de sécurité souvent détourné par les hackers pour lancer de véritables cyberattaques, ce qui en fait une préoccupation majeure en cybersécurité.
  • Perimeter Appliance : Un équipement de périmètre est un dispositif ou un logiciel, comme un pare-feu ou un VPN, qui protège les points d’entrée d’un réseau contre les menaces extérieures.
  • Vulnerability : Une vulnérabilité est une faiblesse dans un logiciel ou un système que les attaquants peuvent exploiter pour obtenir un accès non autorisé, voler des données ou causer des dommages.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news