Tin tặc Trung Quốc tấn công mạng nhiều cơ sở hạ tầng quan trọng trên toàn cầu

An ninh mạng

Một nhóm tin tặc do nhà nước tài trợ ở Trung Quốc có tên Rednovember (Tháng mười một đỏ) đã tiến hành một chiến dịch gián điệp toàn cầu nhắm vào cơ sở hạ tầng quan trọng trong khoảng thời gian từ tháng 6 năm 2024 đến tháng 7 năm 2025, thỏa hiệp với các nhà thầu quốc phòng, cơ quan chính phủ và tập đoàn lớn trong khi khai thác những lỗ hổng nhanh hơn các tổ chức có thể triển khai bản vá bảo mật.

Những cuộc tấn công bao gồm các vi phạm ít nhất hai nhà thầu quốc phòng Mỹ và hơn 30 cơ quan chính phủ Panama như một phần của mục tiêu có hệ thống trên khắp Hoa Kỳ, Châu Âu, Châu Á và Nam Mỹ.

Các nhà nghiên cứu cho biết, nhóm đe dọa đã triển khai một số cửa hậu (backdoor) để duy trì truy cập mạng liên tục sau khi khai thác lỗ hổng trong các thiết bị doanh nghiệp. Nhóm này đã mở rộng nhắm mục tiêu vào các tổ chức của chính phủ và khu vực tư nhân, bao gồm các tổ chức quốc phòng và hàng không vũ trụ, tổ chức không gian và công ty luật.

Khai thác lỗ hổng các thiết bị mạng doanh nghiệp

Rednovember nhắm mục tiêu một cách có hệ thống các thiết bị hướng tới Internet tạo thành xương sống của bảo mật mạng doanh nghiệp. Tin tặc đã khai thác những lỗ hổng được tiết lộ gần đây và những lỗ hổng cũ mà các tổ chức đã thất bại trong việc vá lỗi. Rednovember đã thỏa hiệp với hai nhà thầu quốc phòng Mỹ vào tháng 4 năm 2025.

Các nhà nghiên cứu đã ghi nhận một nhà sản xuất động cơ châu Âu sản xuất các thành phần hàng không vũ trụ đã bị vi phạm thông qua thiết bị VPN của mình, trong khi nhiều công ty luật đã trở thành nạn nhân của các thiết bị mạng bị xâm phạm.

Rednovember đã chứng minh khả năng vũ khí hóa các lỗ hổng mới được tiết lộ nhanh hơn so với hầu hết các tổ chức có thể triển khai các bản vá. Theo báo cáo, Chiến dịch đã đạt ít nhất 60 tổ chức trên khắp Brazil, Đức, Nhật Bản, Bồ Đào Nha, Anh và Mỹ trong vòng bốn ngày.

Thay vì phát triển phần mềm độc hại tùy chỉnh, Rednovember phụ thuộc rất nhiều vào các công cụ có sẵn công khai. Rednovember tận dụng nhiều dịch vụ hợp pháp, bao gồm các công cụ quét lỗ hổng như các dịch vụ mà các nạn nhân sử dụng để quản lý cơ sở hạ tầng của họ.

Các nhà nghiên cứu cho biết Rednovember sử dụng nguồn mở để giảm chi phí hoạt động và phân bổ che giấu.

Nhắm mục tiêu toàn cầu trên nhiều lĩnh vực

Nhóm đã nhắm mục tiêu rất nhiều vào các tổ chức ở Mỹ, Đài Loan và Hàn Quốc, đồng thời tiến hành giám sát các cơ quan chính phủ trên khắp Panama và nhắm mục tiêu các thực thể ở Châu Âu, Châu Phi, Trung Á và Đông Nam Á. Chúng duy trì quyền truy cập liên tục vào các mạng bị xâm phạm trong nhiều tháng, với một số cuộc xâm nhập kéo dài từ tháng 7 năm 2024 đến năm 2025.

Tin tặc cũng nhắm mục tiêu vào các tổ chức để đàm phán kinh doanh những vấn đề nhạy cảm, thỏa hiệp thành công với một công ty luật của Mỹ liên quan đến việc tái cấu trúc nợ cho một công ty Trung Quốc; và tìm cách tấn công một tờ báo lớn của Mỹ.

Phối hợp với các sự kiện địa chính trị

Một số chiến dịch Rednovember trùng với những sự kiện địa chính trị đáng kể. Sự giám sát có hệ thống của hơn 30 cơ quan chính phủ Panama xảy ra chỉ vài tuần sau khi Bộ trưởng Quốc phòng Mỹ Pete Hegseth tuyên bố hợp tác mở rộng để chống lại ảnh hưởng của Trung Quốc trong khu vực kênh đào.

Việc nhắm mục tiêu của các cơ sở Đài Loan, nơi chứa cả các cơ sở quân sự và hoạt động nghiên cứu chất bán dẫn, trùng với các cuộc tập trận quân sự Trung Quốc liên quan đến 90 tàu chiến trên đảo vào tháng 12 năm 2024.

Các nhà nghiên cứu nhận định các những cuộc tấn công của Rednovember nhắm vào các sự kiện địa chính trị và quân sự có lợi ích chiến lược quan trọng đối với Trung Quốc.

Việc nhắm mục tiêu có hệ thống vào các thiết bị hướng tới Internet trên nhiều nền tảng nhà cung cấp chỉ ra rằng các tổ chức cần tăng cường khả năng triển khai bản vá nhanh chóng cho các thiết bị cơ sở hạ tầng mạng. Rednovember, gần như chắc chắn sẽ tiếp tục nhắm mục tiêu các thiết bị cạnh và khai thác các lỗ hổng ngay sau khi phát hành.