ایک سائبر جاسوسی گروہ، جسے چین کی ریاستی سرپرستی حاصل سمجھا جا رہا ہے، کئی براعظموں میں سرکاری اور نجی اداروں پر بڑے پیمانے پر حملوں سے منسلک کیا گیا ہے۔ اس گروہ کو ریکارڈڈ فیوچر نے ریڈنومبر (RedNovember) اور مائیکروسافٹ نے اسٹورم 2077 (Storm-2077) کے نام سے ٹریک کیا ہے۔ یہ سرگرمیاں جون 2024 سے جولائی 2025 کے دوران دیکھی گئیں۔
نشانہ بننے والے خطے اور شعبے
ریڈنومبر نے اپنی کارروائیاں افریقہ، ایشیا، شمالی امریکا، جنوبی امریکا اور اوشیانیا تک پھیلا دی ہیں۔ متاثرہ اداروں میں وزارتِ خارجہ، ریاستی سیکیورٹی ایجنسیاں، یورپی سرکاری ڈائریکٹوریٹس، جنوب مشرقی ایشیائی حکومتیں اور نجی سیکٹر کمپنیاں شامل ہیں۔ نمایاں اہداف میں شامل ہیں:
•وسطی ایشیا کی ایک وزارتِ خارجہ
•افریقہ کی ایک ریاستی سیکیورٹی ایجنسی
•یورپی حکومت کا ایک ڈائریکٹوریٹ
•جنوب مشرقی ایشیا کی ایک سرکاری ایجنسی
•امریکا کی دو ڈیفنس کنٹریکٹر کمپنیاں
•یورپ کا ایک انجن بنانے والا ادارہ
•جنوب مشرقی ایشیا کی ایک تجارتی تنظیم
اس کے علاوہ، امریکا میں دفاع، ایرو اسپیس، انجینئرنگ، قانون اور خلائی شعبوں کو بھی خاص طور پر نشانہ بنایا گیا ہے۔
استعمال ہونے والے اوزار اور طریقے
ریڈنومبر نے اپنی کارروائیوں میں اوپن سورس اور کمرشل دونوں قسم کے ٹولز کا استعمال کیا ہے۔ اس کے نمایاں ہتھیار درج ذیل ہیں:
•پینٹیگانا (Pantegana): گو لینگویج پر مبنی پوسٹ ایکسپلائیٹیشن بیک ڈور
•کوبالٹ اسٹرائیک (Cobalt Strike): ایک جائز لیکن بڑے پیمانے پر غلط استعمال ہونے والا سیکیورٹی ٹول
•اسپارک ریٹ (Spark RAT): اوپن سورس ریموٹ ایکسیس ٹول
•لیسلی لوڈر (LESLIELOADER): گو لینگویج پر مبنی لوڈر جو اسپارک ریٹ یا کوبالٹ اسٹرائیک چلانے کے لیے استعمال ہوتا ہے
یہ گروہ وی پی این، فائر والز، لوڈ بیلنسز، ورچوئلائزیشن ڈھانچے اور ای میل سرورز میں موجود مشہور خامیوں کو ہدف بنا کر ابتدائی رسائی حاصل کرتا ہے۔ اس مقصد کے لیے یہ چیک پوائنٹ، سسکو، سٹریکس، ایف 5، فورٹی نیٹ، ایوانٹی، پالو آلٹو نیٹ ورکس اور سونک وال جیسے وینڈرز کی پروڈکٹس کا استحصال کرتا ہے۔
آپریشنل حکمتِ عملی
ریڈنومبر کی نمایاں خصوصیت یہ ہے کہ یہ اوپن سورس ٹولز جیسے پینٹیگانا اور اسپارک ریٹ استعمال کرتا ہے تاکہ اپنی سرگرمیوں کو کسی اور گروہ یا مقصد سے منسلک ظاہر کرے اور اصل شناخت چھپا سکے۔ اس کے علاوہ یہ ایکسپریس وی پی این اور وارپ وی پی این جیسے سروسز استعمال کرتا ہے تاکہ اپنے سرورز کو منظم کرے اور متاثرہ سسٹمز کے ساتھ رابطہ رکھے۔
ریکارڈڈ فیوچر کے مطابق، اس گروہ نے ایک جنوبی امریکی ملک کے مائیکروسافٹ آؤٹ لک ویب ایکسیس (OWA) پورٹلز کو نشانہ بنایا تھا، اور یہ اس وقت ہوا جب اس ملک کا سرکاری وفد چین کے دورے پر جانے والا تھا۔ یہ واقعہ اس بات کی نشاندہی کرتا ہے کہ ان کارروائیوں کے پیچھے خفیہ معلومات حاصل کرنے کا مقصد ہے۔
جغرافیائی توجہ
جون 2024 سے مئی 2025 تک ریڈنومبر نے پانامہ، امریکا، تائیوان اور جنوبی کوریا پر زیادہ توجہ دی۔ اپریل 2025 میں اس نے امریکا کی ایک اخبار اور ایک ملٹری کنٹریکٹر سے وابستہ ایوانٹی کنیکٹ سیکیور اپلائنسز کو بھی نشانہ بنایا۔
نتیجہ
ریڈنومبر ایک مستقل اور بدلتی ہوئی حکمتِ عملی رکھنے والا جاسوسی گروہ ہے۔ اس کی کارروائیاں ظاہر کرتی ہیں کہ اس کی توجہ امریکا، جنوب مشرقی ایشیا، بحرالکاہل کے خطے اور جنوبی امریکا جیسے اہم جغرافیائی علاقوں پر ہے۔ سیکیورٹی ڈیوائسز میں موجود خامیوں کو استعمال کر کے اور اوپن سورس ٹولز کو اپنانے کے ذریعے یہ گروہ اپنے اہداف پر طویل مدت تک قابض رہتا ہے۔
سورس
https://thehackernews.com/2025/09/chinese-hackers-rednovember-target.html?m=1
