Se cree que un actor de amenazas afiliado a China conocido como UAT-7290 está realizando infiltraciones basadas en espionaje contra organizaciones en el sur de Asia y el sudeste de Europa.
Según un informe de Cisco Talos publicado hoy, este grupo de actividades ha estado activo desde al menos 2022 y se centra principalmente en un reconocimiento técnico exhaustivo de las organizaciones objetivo antes de lanzar ataques, lo que en última instancia conduce a la implementación de familias de malware como RushDrop, DriveSwitch y SilentRaid.
Los investigadores Asheer Malhotra, Vitor Ventura y Brandon White dijeron: «Además de que UAT-7290 se adentra profundamente en la infraestructura de red de las empresas víctimas y realiza ataques centrados en el espionaje, sus tácticas, técnicas, procedimientos (TTP) y herramientas sugieren que el atacante también estableció nodos de Caja de retransmisión operativa (ORB)».
«La infraestructura ORB podría ser utilizada para operaciones maliciosas por otros actores alineados con China. Esto significa que el UAT-7290 está desempeñando un doble papel no sólo como actor de amenazas con fines de espionaje, sino también como grupo de acceso inicial».
Los ataques de los adversarios se dirigen principalmente a los proveedores de telecomunicaciones del sur de Asia. Sin embargo, una reciente ola de intrusiones se ha extendido para atacar a organizaciones en el sudeste de Europa.
La sofisticación del UAT-7290 es diversa y se basa en una combinación de malware de código abierto, herramientas personalizadas y cargas útiles para vulnerabilidades de un día en productos populares de redes de borde. Los implantes de Windows notables utilizados por los actores de amenazas incluyen RedLeaves (también conocido como BUGJUICE) y ShadowPad. Ambos están asociados exclusivamente con grupos de hackers chinos.
Dicho esto, el grupo se basa principalmente en paquetes de malware basados en Linux, que incluyen:
RushDrop (también conocido como ChronosRAT), un cuentagotas que inicia la cadena de infección DriveSwitch, un malware periférico utilizado para ejecutar SilentRaid en sistemas infectados SilentRaid (también conocido como MystRodX), un implante basado en C++ que establece un acceso persistente a un punto final comprometido y adopta un enfoque similar a un complemento para comunicarse con servidores externos, abrir shells remotos, configurar el reenvío de puertos y realizar operaciones de archivos.
Vale la pena señalar que un análisis anterior realizado por QiAnXin XLab marcó a MystRodX como una variante de ChronosRAT. ChronosRAT es un binario ELF modular con ejecución de shellcode, administración de archivos, registro de teclas, reenvío de puertos, shell remoto, captura de pantalla y funcionalidad de proxy. La Unidad 42 de Palo Alto Networks está rastreando un grupo de amenazas relacionado llamado CL-STA-0969.
UAT-7290 también implementa una puerta trasera llamada Bulbature que está diseñada para convertir dispositivos periféricos comprometidos en ORB. Esto fue documentado por primera vez por Sekoia en octubre de 2024.
La firma de ciberseguridad dijo que el actor de amenazas tiene tácticas e infraestructura superpuestas con adversarios vinculados a China conocidos como Stone Panda y RedFoxtrot (también conocido como Nomad Panda).
«Los actores de amenazas realizan un reconocimiento exhaustivo de las organizaciones objetivo antes de realizar intrusiones. UAT-7290 aprovecha exploits de un día y fuerza bruta SSH específica del objetivo para comprometer dispositivos periféricos de cara al público, obtener acceso inicial y escalar privilegios en sistemas comprometidos», dijeron los investigadores. «Los atacantes parecen confiar en un código de explotación de prueba de concepto disponible públicamente en lugar de desarrollar el suyo propio».
Source link
