Se ha observado que un actor de amenazas, probablemente aliado con China, apunta a sectores de infraestructura críticos en América del Norte desde al menos el año pasado.
Cisco Talos, que rastrea la actividad bajo ese nombre. UAT-8837lo evaluó como un actor de Amenaza Persistente Avanzada (APT) de confianza media en el Nexo de China basándose en la superposición táctica con otras campañas de actores de amenazas en la región.
La firma de ciberseguridad señaló que el actor de amenazas tiene “la tarea principal de obtener acceso inicial a organizaciones de alto valor” en función de las tácticas, técnicas y procedimientos (TTP) observados y la actividad posterior al compromiso.
“Después de obtener acceso inicial, ya sea mediante la explotación exitosa de servidores vulnerables o mediante el uso de credenciales comprometidas, UAT-8837 utiliza predominantemente herramientas de código abierto para recopilar información confidencial como credenciales, configuraciones de seguridad e información de dominio y Active Directory (AD), creando múltiples canales de acceso para sus víctimas”, continúa.
Recientemente se informó que UAT-8837 aprovechó una vulnerabilidad crítica de día cero en Sitecore (CVE-2025-53690, puntuación CVSS: 9.0) para obtener acceso inicial, y el intruso compartió TTP, herramientas y similitudes de infraestructura con una campaña detallada en septiembre de 2025 por Mandiant, una subsidiaria de Google.
Si bien no está claro si estos dos clústeres son obra del mismo actor, sí sugiere que UAT-8837 puede tener acceso a exploits de día cero para llevar a cabo ataques cibernéticos.
Una vez que el atacante tiene un punto de apoyo en las redes objetivo, realiza un reconocimiento preliminar y luego desactiva el RestrictedAdmin del Protocolo de escritorio remoto (RDP), una característica de seguridad que garantiza que las credenciales y otros recursos del usuario no se filtren a hosts remotos comprometidos.
UAT-8837 también está destinado a abrir “cmd.exe” para realizar actividades prácticas con el teclado en el host infectado y descargar varios artefactos para permitir una explotación posterior. Los artefactos notables incluyen:
- GoTokenTheft para robar tokens de acceso
- EarthWorm creará un túnel inverso hacia servidores controlados por atacantes utilizando SOCKS
- DWAgent para permitir el acceso remoto persistente y el reconocimiento de Active Directory
- SharpHound para recopilar información de Active Directory
- Impacket para ejecutar comandos con privilegios elevados
- GoExec, una herramienta basada en Golang para ejecutar comandos en otros puntos finales remotos conectados en la red de la víctima
- Rubeus, un conjunto de herramientas basado en C# para la interacción y el abuso de Kerberos
- Certipy, una herramienta de detección y abuso de Active Directory
“UAT-8837 puede ejecutar una serie de comandos durante la intrusión para obtener información confidencial, como credenciales de organizaciones víctimas”, dijeron los investigadores Asheer Malhotra, Vitor Ventura y Brandon White.
“En una organización víctima, UAT-8837 exfiltró bibliotecas compartidas basadas en DLL asociadas con los productos de la víctima, lo que aumenta la posibilidad de que estas bibliotecas puedan ser troyanizadas en el futuro. Esto crea oportunidades para comprometer la cadena de suministro y aplicar ingeniería inversa para encontrar vulnerabilidades en estos productos”.
La revelación se produce una semana después de que Talos rastreara a otro actor de amenazas del nexo con China, UAT-7290, hasta incursiones orientadas al espionaje en organizaciones en el sur de Asia y el sudeste de Europa utilizando familias de malware como RushDrop, DriveSwitch y SilentRaid.
En los últimos años, los gobiernos occidentales han emitido varias advertencias en medio de preocupaciones sobre los actores de amenazas chinos que atacan infraestructura crítica. A principios de esta semana, agencias de inteligencia y ciberseguridad de Australia, Alemania, Países Bajos, Nueva Zelanda, Reino Unido y Estados Unidos advirtieron sobre las crecientes amenazas a los entornos de tecnología operativa (OT).
La guía proporciona un marco para diseñar, proteger y gestionar la conectividad en sistemas OT y alienta a las organizaciones a limitar la exposición, centralizar y estandarizar las conexiones de red, utilizar protocolos seguros, reforzar los límites de OT, garantizar que toda la conectividad sea monitoreada y registrada, y evitar el uso de recursos obsoletos que podrían aumentar el riesgo de incidentes de seguridad.
“Se sabe que la conectividad OT expuesta e insegura es el objetivo de actores tanto oportunistas como altamente sofisticados”, dijeron las autoridades. “Esta actividad incluye actores patrocinados por el estado que atacan activamente redes de infraestructura nacional (CNI) críticas. La amenaza no se limita solo a los actores patrocinados por el estado; incidentes recientes demuestran cómo los hacktivistas están atacando de manera oportunista las infraestructuras OT expuestas”.
About The Author
