Se cree que los ataques de grupos de amenazas persistentes avanzadas (APT) alineados con China se dirigirán a agencias gubernamentales en América del Sur desde al menos finales de 2024 en adelante, y en el sureste de Europa para 2025.
Cisco Talos está rastreando esta actividad como UAT-8302, y la actividad posterior a la explotación incluye la implementación de una familia de malware personalizada utilizada por otros grupos de piratas informáticos alineados con China.
Entre la familia de malware destaca una puerta trasera basada en .NET llamada NetDraft (también conocida como NosyDoor). Esta es una variante C# de FINALDRAFT (también conocida como Squidoor), que anteriormente se ha vinculado a grupos de amenazas conocidos como Ink Dragon, CL-STA-0049, Earth Alux, Jewelbug y REF7707.
ESET está rastreando el uso de NosyDoor contra un grupo llamado LongNosed Goblins. Curiosamente, el mismo malware también ha sido implementado contra organizaciones de TI rusas por un actor de amenazas llamado Erudite Mogwai (también conocido como Space Pirate y Webworm), que ha tomado el nombre de LuckyStrike Agent, según la empresa rusa de ciberseguridad Solar.
Algunas de las otras herramientas utilizadas con UAT-8302 son:
«El malware implementado por UAT-8302 lo conecta con varios grupos de amenazas previamente revelados, lo que indica al menos una estrecha relación operativa entre ellos», escribieron los investigadores de Talos Jungsoo An, Asheer Malhotra y Brandon White en un informe técnico publicado hoy.
«En general, la variedad de artefactos maliciosos implementados por UAT-8302 indica que este grupo tiene acceso a herramientas utilizadas por otros actores avanzados de APT, todas las cuales han sido evaluadas por varios informes de la industria de terceros como herramientas vinculadas al chino o de habla china».
Actualmente no está claro qué métodos de acceso inicial utilizan los atacantes para infiltrarse en las redes objetivo, pero se sospecha que incluyen enfoques probados para convertir en armas exploits de día cero y día N para aplicaciones web.
Una vez que los atacantes se han afianzado, se sabe que realizan reconocimientos exhaustivos, planifican sus redes, ejecutan herramientas de código abierto como gogo para realizar análisis automatizados y se mueven lateralmente a través del entorno. La cadena de ataques culmina con la introducción de NetDraft, CloudSorcerer (versión 3.0) y VShell.
También se ha observado que UAT-8302 utiliza una variante de SNOWLIGHT basada en Rust llamada SNOWRUST para descargar y ejecutar cargas útiles de VShell desde servidores remotos. Además de utilizar malware personalizado, los atacantes configuran alternativas de acceso de puerta trasera utilizando servidores proxy y herramientas VPN como Stowaway y SoftEther VPN.
Los hallazgos resaltan una tendencia de tácticas cooperativas avanzadas entre múltiples grupos alineados con China. En octubre de 2025, Trend Micro reveló un fenómeno llamado «Premier Pass-as-a-Service». En este fenómeno, el acceso inicial obtenido por Earth Estries se pasa a Earth Naga para su posterior explotación, lo que nubla los esfuerzos de desgaste. Se estima que esta asociación existe desde al menos finales de 2023.
«Premier Pass-as-a-Service proporciona acceso directo a activos críticos, lo que reduce el tiempo dedicado a las fases de reconocimiento, explotación inicial y movimiento lateral», afirmó Trend Micro. «Aún no se conoce el alcance total de este modelo, pero dado el número limitado de incidentes observados y el importante riesgo de compromiso que implican dichos servicios, creemos que es probable que el acceso se limite a atacantes de pequeña escala».
Source link
