Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Gián điệp mạng Trung Quốc tấn công các nhà thầu quốc phòng Mỹ

15:57 | 29/09/2025
Hồng Đạt

Theo báo cáo mới đây của công ty an ninh mạng Recorded Future, một nhóm gián điệp mạng Trung Quốc đã xâm phạm ít nhất hai nhà thầu quốc phòng tại Mỹ và nhiều tổ chức khác ở châu Mỹ, châu Âu, châu Á và châu Phi.

Từ tháng 7/2024 đến tháng 7/2025, tác nhân đe dọa được theo dõi là RedNovember đã nhắm mục tiêu vào các tổ chức lớn trên toàn cầu, trong các ngành công nghiệp chính phủ, quốc phòng, hàng không vũ trụ và các lĩnh vực trọng yếu khác.

Để truy cập ban đầu, tin tặc xâm phạm vào các thiết bị biên của Cisco, F5, Fortinet, Ivanti, Palo Alto Networks, SonicWall và Sophos, cũng như các phiên bản Outlook Web Access (OWA).

Là một phần của các cuộc tấn công, RedNovember triển khai một backdoor dựa trên Go có tên là Pantegana, các công cụ bảo mật tấn công như Cobalt Strike và SparkRAT, cùng các công cụ nguồn mở, trinh sát và thực hiện các hoạt động theo dõi.

Recorded Future lưu ý rằng, các tác nhân đe dọa này được biết đến với việc sử dụng Pantegana làm framework cho máy chủ điều khiển và ra lệnh (C2), kết hợp với Cobalt Strike và tiếp tục dựa vào ExpressVPN để quản lý máy chủ, đồng thời có khả năng áp dụng Warp VPN để truy cập từ xa vào cơ sở hạ tầng của mình.

Các nhà nghiên cứu đã quan sát thấy nhóm gián điệp mạng Trung Quốc nhắm mục tiêu vào các cổng thông tin OWA của một quốc gia tại Nam Mỹ. Trong năm qua, nhóm này tập trung vào các tổ chức chính phủ và ngoại giao ở nhiều quốc gia trên khắp châu Phi, châu Á, châu Âu và Nam Mỹ, được cho là đã duy trì quyền truy cập trong thời gian dài vào một tổ chức liên chính phủ có trụ sở tại Đông Nam Á.

Bên cạnh đó, RedNovember được phát hiện tấn công các tổ chức hàng không vũ trụ và quốc phòng của Mỹ, các cơ sở công nghiệp quốc phòng trên toàn cầu, trong đó có một trung tâm nghiên cứu tập trung vào không gian của châu Âu.

Vào tháng 4/2025, nhóm tin tặc này nhắm mục tiêu vào một nhà thầu kỹ thuật và quân sự Mỹ. Mặc dù đã phát hiện thấy giao tiếp giữa cơ sở hạ tầng của kẻ tấn công và hai điểm cuối ICS VPN có thể truy cập Internet trong tổ chức, Recorded Future không tìm thấy đủ bằng chứng để kết luận việc xâm nhập thành công.

Công ty an ninh mạng lưu ý rằng: “Cũng trong tháng 4/2025, RedNovember đã tiến hành trinh sát mở rộng đối với một địa chỉ IP liên quan đến cơ sở giáo dục đại học có liên hệ với Hải quân Mỹ”.

Mặt khác, nhóm gián điệp mạng này cũng bị phát hiện tấn công vào các tổ chức tư nhân, bao gồm các công ty sản xuất châu Âu, một công ty luật, một công ty công nghệ thông tin tại Đài Loan, hai công ty dầu khí Mỹ, nhiều tổ chức tài chính Fiji, các cơ quan chính phủ, tổ chức truyền thông và cơ quan giao thông vận tải.

Theo Recorded Future, các chiến dịch tấn công của RedNovember chủ yếu tập trung vào trinh sát và khai thác các lỗ hổng mới được tiết lộ trong các thiết bị biên, bao gồm tường lửa Palo Alto Networks GlobalProtect, phiên bản Ivanti Connect Secure, cổng VPN Check Point, cổng đăng nhập Sophos UTM, phiên bản SonicWall SonicOS và SonicWall SSL-VPN và thiết bị F5 BIG-IP.

Các nhà nghiên cứu nhận định rằng RedNovember, cùng với các nhóm hoạt động đe dọa khác do nhà nước Trung Quốc bảo trợ, gần như chắc chắn sẽ tiếp tục nhắm mục tiêu vào các thiết bị biên và khai thác lỗ hổng ngay sau khi chúng được công bố.

Twitter Zalo Facebook YouTube Copy Link QR Code
TRUNG QUỐC KHAI THÁC LỖ HỔNG TẤN CÔNG MẠNG QUỐC PHÒNG HÀNG KHÔNG VŨ TRỤ TIN TẶC COBALT STRIKE ĐÁNH CẮP THÔNG TIN THIẾT BỊ BIÊN BACKDOOR MỸ REDNOVEMBER GIÁN ĐIỆP MẠNG
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết