Se ha observado que actores de amenazas que se cree están alineados con China apuntan a sectores de infraestructura críticos en América del Norte desde al menos el año pasado.
Cisco Talos, que está rastreando esta actividad bajo el nombre UAT-8837, ha evaluado con confianza media que se trata de un actor de Amenaza Persistente Avanzada (APT) alineado con China basado en la superposición táctica con otras campañas lanzadas por actores de amenazas en la región.
La firma de ciberseguridad señaló que, según las tácticas, técnicas y procedimientos (TTP) observados y la actividad posterior a la infracción, los actores de amenazas tienen «la tarea principal de obtener acceso inicial a organizaciones de alto valor».
«Después de obtener acceso inicial, ya sea explotando con éxito un servidor vulnerable o utilizando credenciales comprometidas, UAT-8837 implementa principalmente herramientas de código abierto para recopilar información confidencial como credenciales, configuraciones de seguridad, dominio e información de Active Directory (AD), y crear múltiples canales de acceso a las víctimas», agregó.
Se dice que UAT-8837 obtuvo recientemente acceso inicial al explotar una vulnerabilidad crítica de día cero en Sitecore (CVE-2025-53690, puntuación CVSS: 9.0), y esta intrusión comparte similitudes en TTP, herramientas e infraestructura con una campaña detallada por Mandiant, propiedad de Google, en septiembre de 2025.
No está claro si estos dos clústeres son obra del mismo actor, pero sugiere que UAT-8837 puede tener acceso a exploits de día cero para llevar a cabo ciberataques.
Una vez que el atacante ha establecido un punto de apoyo en la red objetivo, realiza un reconocimiento preliminar y luego desactiva el RestrictedAdmin del Protocolo de escritorio remoto (RDP). Esta es una característica de seguridad que evita que las credenciales y otros recursos del usuario queden expuestos a hosts remotos comprometidos.
También se dice que UAT-8837 abre «cmd.exe» para realizar operaciones de teclado reales en hosts infectados y descargar varios artefactos para permitir ataques posteriores a la explotación. Los artefactos notables incluyen:
GoTokenTheft, EarthWorm para robar tokens de acceso, DWAgent para crear un túnel inverso a un servidor controlado por un atacante usando SOCKS, SharpHound para permitir el acceso remoto persistente y el reconocimiento de Active Directory, Impacket para recopilar información de Active Directory, GoExec para ejecutar comandos con privilegios elevados, Rubeus, una herramienta basada en Golang para ejecutar comandos en otros puntos finales remotos conectados en la red de la víctima, conjunto de herramientas basado en Kerberos C# para explotación interactiva Certipy, una herramienta de detección y explotación de Active Directory
Los investigadores Asheer Malhotra, Vitor Ventura y Brandon White dijeron: «UAT-8837 puede ejecutar una serie de comandos durante un compromiso para obtener credenciales y otra información confidencial de las organizaciones víctimas».
«Para una organización víctima, UAT-8837 expuso bibliotecas compartidas basadas en DLL asociadas con los productos de la víctima, lo que aumenta la probabilidad de que estas bibliotecas sean troyanizadas en el futuro. Esto crea oportunidades para comprometer la cadena de suministro y aplicar ingeniería inversa para encontrar vulnerabilidades en esos productos».
Esta divulgación se produce una semana después de que Talos determinara que otro actor de amenazas vinculado a China, conocido como UAT-7290, utilizó una familia de malware que incluía RushDrop, DriveSwitch y SilentRaid para infiltrarse en organizaciones en el sur de Asia y el sudeste de Europa con fines de espionaje.
En los últimos años, los gobiernos occidentales han emitido varias advertencias por la preocupación de que los actores de amenazas chinos estén apuntando a infraestructuras críticas. A principios de esta semana, agencias de inteligencia y ciberseguridad de Australia, Alemania, Países Bajos, Nueva Zelanda, Reino Unido y Estados Unidos advirtieron sobre crecientes amenazas a los entornos de tecnología operativa (OT).
La guía proporciona un marco para diseñar, proteger y administrar las conexiones del sistema OT y requiere que las organizaciones limiten la exposición, centralicen y estandaricen las conexiones de red, utilicen protocolos seguros, endurezcan los límites de OT, garanticen que todas las conexiones sean monitoreadas y registradas, y eviten el uso de activos obsoletos que puedan aumentar el riesgo de incidentes de seguridad.
«Se sabe que las conexiones OT inseguras expuestas son el objetivo de atacantes tanto oportunistas como altamente capaces», dijo la agencia. «Esta actividad involucra a actores patrocinados por el estado que atacan activamente las redes de infraestructura crítica nacional (CNI). La amenaza no se limita a los actores patrocinados por el estado, y los incidentes recientes demuestran cómo los hacktivistas están atacando de manera oportunista la infraestructura OT expuesta».
Source link
