自2024年6月至2025年7月,名为RedNovember的网络间谍组织发动了一系列有针对性的渗透与侦察行动,目标覆盖政府机构、国防与航空航天企业、能源公司以及专业服务机构等关键领域。安全行业研究者将该组织与Microsoft、Google等厂商跟踪的多个命名实体相互比对后,认为其活动具备国家级资助的特征并与其他长期活跃的威胁组织存在重叠。对这次行动的梳理有助于理解现代国家级网络情报活动的战术演进、关键风险点以及企业与政府应如何加强防御与威胁狩猎能力。 概览与归因 Recorded Future的Insikt Group在公开报告中将该组织标注为RedNovember,指出其在全球多国发起持续性侦察与入侵尝试。相关活动被观察到利用大量面向互联网的边缘设备作为初始突破口,包括各类VPN设备、安全网关与Web访问服务。安全界的其他力量也同时披露了类似利用,比如针对Ivanti Connect Secure与SonicWall设备的持续利用潮,以及针对Cisco ASA/FTD固件与ROM的深度持久化攻击(被一些机构统称为ArcaneDoor或UAT4356)。
这些观察表明攻击者既有常见的漏洞利用手法,也掌握对固件层面的高级持久化能力。Insikt Group同时指出,RedNovember与Microsoft所跟踪的Storm-2077/ TAG-100等实体存在活动重叠,体现国家支持的网络间谍行动通常会跨研究机构命名体系出现关联痕迹。值得注意的是,公开报告强调"观察到的针对并不必然代表成功入侵",这提醒受害面统计与实际妥协之间需要谨慎区分。 时间线与地缘政治背景 在2025年4月,RedNovember对巴拿马政府机构展开大规模侦察,超过30个巴拿马政府相关组织被列为侦察目标。研究者指出,这一时间点与美国国防高层访问巴拿马以及围绕巴拿马运河与港口资产的地缘政治互动高度契合。类似地,RedNovember在2024下半年至2025年上半年对美国、台湾、韩国等国的国防与航空航天组织加强了关注与扫描,且在2025年4月对两家美国油气公司的侦察行动也被记录在案。
总体来看,攻击活动呈现出对地缘政治事件快速响应与情报收集驱动的特点。 被利用的漏洞与边缘设备 本次活动的关键技术特征在于广泛滥用面向外网的基础设施设备。Ivanti Connect Secure与SonicWall等远程访问设备多次成为初始访问通道,研究者提及的CVE编号包括近期被广泛披露的若干漏洞(如Ivanti与Cisco相关CVE)以及厂商发布的紧急补丁。除此之外,F5 BIG-IP、Palo Alto GlobalProtect、Fortinet FortiGate、Sophos SSL VPN以及Outlook Web Access(OWA)实例也被列为扫描或可能被利用的目标。 值得特别关注的是对Cisco ASA与FTD设备的攻击,相关攻击者被认为具备修改设备只读存储(ROM)以实现重启与升级后依然存在的持久化能力。CISA与Cisco均发布了应急响应通知,要求客户在极短时间内识别受影响设备并采取修补与检测措施。
ROM层面的被篡改会带来极高的恢复成本与风险,因为传统的补丁与重启可能不足以恢复设备至可信状态,需采取固件完整性验证与完整重刷等手段。 恶意工具与攻击链特征 在取得初始访问后,RedNovember部署了多种后门与远控工具,包括用Go语言编写、跨平台的Pantegana后门与SparkRAT,以及广泛被国家级与犯罪团伙采用的Cobalt Strike工具集。Go语言家族的恶意软件因其易于跨平台编译、体积小且依赖少,近年来在高级持续性威胁活动中频繁出现。Cobalt Strike则被用作横向移动、命令控制与载荷分发的常见手段。研究者还发现攻击者采用了标准渗透测试工具与技巧,包括端口扫描、凭证窃取、持久化机制建立与侧向渗透,整体攻击链与专业红队的流程高度类似,但用于情报收集与网络持久占领。 影响范围与行业集中度 Insikt Group报告显示,RedNovember的目标高度集中于航空航天与国防企业、政府机构和专业服务提供商。
在被记录的目标中,美国、台湾与韩国的组织被频繁锁定。同时也有针对日本、英国、德国、巴西、葡萄牙等国企业的扫描与尝试。尽管许多尝试并未被证实为成功入侵,但大量扫描与漏洞利用尝试本身就对被攻击组织的运营安全与供应链信任构成了压力。 防御建议与技术对策 面对类似RedNovember的国家级持续威胁,企业与政府机构必须在制度、技术与组织三个层面加强防御。首先,建立并维护全面的资产清单与外网暴露面盘点是根本,确保所有面向互联网的VPN、远程访问设备与网络安全设备都在可视范围内并定期扫描已知漏洞。对供应商发布的紧急补丁保持快速响应能力,特别是像Ivanti、SonicWall、Cisco、F5等厂商发布的高危补丁,应优先列入补丁计划与回归验证。
其次,采用分层防护与最小权限原则降低潜在破坏面。网络分段、管理平面隔离与多因素认证(MFA)的推广能显著增加攻击者横向移动与持久化的难度。对固件层面风险的管理需要将设备固件完整性检查纳入常态化运维,必要时进行设备固件重刷与密钥重签。对于被建议存在ROM篡改风险的设备,应与厂商或国家网络安全机构协作,按指导进行完全恢复或更换。 第三,增强检测与响应能力至关重要。终端检测与响应(EDR)、网络检测与响应(NDR)工具应重点监控Cobalt Strike的RITM行为、可疑的Go编译恶意二进制执行、异常外联与未授权管理会话。
日志保全策略要覆盖VPN、网关、邮件网关与关键服务器,确保在发生入侵时有足够的事件溯源能力。针对Pantegana、SparkRAT等已知IOC,组织应将相关签名、网络指标与通信特征整合进威胁情报平台以支持自动化阻断与告警。 第四,加强供应链与第三方风险管理。因为攻击者常通过外部供应商或承包商的薄弱环节进入目标网络,企业应对关键供应商实行更高标准的安全基线,要求供应方提供安全证明、定期渗透测试结果与补丁管理记录。对第三方访问权限应实行严格审批与动态审计。 组织与政策层面的应对 国家级网络间谍活动不仅是技术问题,也涉及政策与国际关系。
各国政府与企业需要提升信息共享机制,建立快速通报渠道以在漏洞被积极利用时实现跨界联防。CISA、NCSC(英国国家网络安全中心)等机构的紧急通告能在短时间内推动大规模修补与检测行动,私营企业要建立与这些机构的联动流程。 另外,长远来看应推动网络设备制造商提升安全设计标准,减少设备出厂时默认暴露的管理接口与弱认证机制,强化固件签名与供应链完整性审查。对关键基础设施的国家保护策略也应纳入网络韧性建设,包括对重要通信与网络设备实施更严格的审计与替代方案评估。 对普通组织与安全团队的实操建议 发生类似RedNovember大规模侦察潮时,安全团队的首要任务是确认外部暴露资产、快速修补已知高危漏洞并开展针对性的日志回溯与威胁狩猎。启动应急响应流程时要优先隔离可疑终端或设备、限制管理平面远程访问并进行凭证重置。
对于可能被篡改固件的设备,应在厂商指导下评估是否需要完整重装与替换。与此同时,加强员工安全意识培训、模拟钓鱼演练与对关键岗位的访问控制也是降低整体风险的有效手段。 结语:从情报收集到韧性建设 RedNovember展现了现代国家级网络间谍行动的几个重要趋势:利用面向互联网的边缘设备作为突破口、采用跨平台Go语言恶意软件与成熟的渗透工具、以及在地缘政治事件推动下快速调整目标与行动节奏。对被攻击国家与行业而言,单纯依赖事后补丁与被动处置已难以满足不断演进的威胁态势。建立主动的威胁狩猎能力、强化固件与供应链安全、并在政府与私营部门之间建立高效的信息共享与应急联动,将是增强网络韧性、应对类似RedNovember行动的关键路径。 面向未来,网络安全不仅是技术防护的竞争,更是情报、政策与产业协作的系统工程。
组织应把网络安全视为战略资产,持续投入检测、响应与修复能力,才能在面对有组织、有资源的国家级对手时保持防御优势并保护关键基础设施与敏感数据的安全。 。
