Un actor de amenaza del nexo con China conocido como UAT-7290 se atribuyeron a intervenciones orientadas al espionaje contra empresas del sur de Asia y el sudeste de Europa.
El grupo de actividades, que ha estado activo desde al menos 2022, se centra principalmente en el reconocimiento técnico integral de las organizaciones objetivo antes de iniciar ataques, lo que en última instancia conduce a la implementación de familias de malware como RushDrop, DriveSwitch y SilentRaid, según un informe de Cisco Talos publicado hoy.
“Además de realizar ataques orientados al espionaje en los que UAT-7290 penetra profundamente en la infraestructura de red de una organización víctima, sus tácticas, técnicas y procedimientos (TTP) y herramientas sugieren que este actor también está construyendo nodos de cajas de retransmisión operativas (ORB)”, dijeron los investigadores Asheer Malhotra, Vitor Ventura y Brandon White.
“La infraestructura ORB podría ser utilizada por otros actores de China Nexus para sus operaciones maliciosas, lo que subraya el doble papel del UAT-7290 como actor de amenazas motivado por el espionaje y como grupo de primer acceso”.
Los ataques del enemigo estaban dirigidos principalmente contra proveedores de telecomunicaciones del sur de Asia. Sin embargo, las recientes oleadas de ataques también han afectado a organizaciones del sudeste de Europa.
El oficio de UAT-7290 es tan amplio como diverso y se basa en una combinación de malware de código abierto, herramientas personalizadas y cargas útiles para vulnerabilidades de 1 día en productos populares de redes de borde. Los implantes de Windows notables utilizados por el actor de amenazas incluyen RedLeaves (también conocido como BUGJUICE) y ShadowPad, ambos vinculados exclusivamente a grupos de hackers chinos.
Sin embargo, el grupo utiliza principalmente un paquete de malware basado en Linux que consta de:
- RushDrop (también conocido como ChronosRAT), un gotero que inicia la cadena de infección
- DriveSwitch, un malware periférico utilizado para ejecutar SilentRaid en el sistema infectado
- SilentRaid (también conocido como MystRodX), un implante basado en C++ que establece acceso persistente a puntos finales comprometidos y utiliza un enfoque similar a un complemento para comunicarse con un servidor externo, abrir un shell remoto, configurar el reenvío de puertos y realizar operaciones de archivos.
Vale la pena señalar que MystRodX fue señalado en un análisis anterior por QiAnXin XLab como una variante de ChronosRAT, un binario ELF modular que admite la ejecución de shellcode, administración de archivos, registro de teclas, reenvío de puertos, shell remoto, captura de pantalla y proxy. La Unidad 42 de Palo Alto Networks está rastreando el grupo de amenazas asociado con el nombre CL-STA-0969.
UAT-7290 también implementa una puerta trasera llamada Bulbature que está diseñada para convertir un dispositivo periférico comprometido en un ORB. Sekoia lo documentó por primera vez en octubre de 2024.
La firma de ciberseguridad dijo que el actor de amenazas tiene una superposición táctica y de infraestructura con adversarios vinculados a China llamados Stone Panda y RedFoxtrot (también conocido como Nomad Panda).
“El actor de amenazas lleva a cabo un reconocimiento exhaustivo de las organizaciones objetivo antes de realizar intrusiones. UAT-7290 aprovecha exploits de un día y fuerza bruta SSH específica del objetivo para comprometer dispositivos periféricos de acceso público para obtener acceso inicial y escalar privilegios en sistemas comprometidos”, dijeron los investigadores. “El actor parece confiar en un código de explotación de prueba de concepto disponible públicamente en lugar de desarrollar el suyo propio”.
About The Author
