Un actor de amenaza del trabazón con China conocido como UAT-7290 se ha atribuido a intrusiones centradas en el espionaje contra entidades del sur de Asia y el sudeste de Europa.
El peña de actividades, que ha estado activo desde al menos 2022, se centra principalmente en un registro técnico profundo de las organizaciones objetivo ayer de iniciar ataques, lo que en última instancia conduce a la implementación de familias de malware como RushDrop, DriveSwitch y SilentRaid, según un noticia de Cisco Talos publicado hoy.
“Adicionalmente de realizar ataques centrados en el espionaje en los que UAT-7290 se introduce profundamente en la infraestructura de red de la empresa víctima, sus tácticas, técnicas y procedimientos (TTP) y herramientas sugieren que este actor incluso establece nodos de caja de retransmisión operativa (ORB)”, dijeron los investigadores Asheer Malhotra, Vitor Ventura y Brandon White.
“La infraestructura ORB puede ser utilizada por otros actores del trabazón con China en sus operaciones maliciosas, lo que significa el doble papel del UAT-7290 como actor de amenazas motivado por el espionaje, así como como peña de llegada auténtico”.
Los ataques del adversario se han dirigido principalmente a proveedores de telecomunicaciones del sur de Asia. Sin incautación, las recientes oleadas de intrusión se han extendido a organizaciones de huelga en el sudeste de Europa.
El oficio de UAT-7290 es tan amplio como variado, y se plinto en una combinación de malware de código amplio, herramientas personalizadas y cargas efectos para vulnerabilidades de un día en productos populares de redes de borde. Algunos de los implantes de Windows notables utilizados por el actor de amenazas incluyen RedLeaves (incluso conocido como BUGJUICE) y ShadowPad, uno y otro vinculados exclusivamente a grupos de hackers chinos.
Dicho esto, el peña aprovecha principalmente un paquete de malware basado en Linux que comprende:
- RushDrop (incluso conocido como ChronosRAT), un cuentagotas que inicia la dependencia de infección
- DriveSwitch, un malware periférico que se utiliza para ejecutar SilentRaid en el sistema infectado
- SilentRaid (incluso conocido como MystRodX), un implante basado en C++ que establece llegada persistente a puntos finales comprometidos y emplea un enfoque similar a un complemento para comunicarse con un servidor forastero, rasgar un shell remoto, configurar el reenvío de puertos y realizar operaciones de archivos.
Vale la pena señalar que un observación previo de QiAnXin XLab marcó a MystRodX como una modificación de ChronosRAT, un binario ELF modular que es capaz de ejecutar shellcode, empresa de archivos, registro de teclas, reenvío de puertos, shell remoto, captura de pantalla y proxy. La Mecanismo 42 de Palo Stop Networks está rastreando el peña de amenazas asociado bajo el nombre CL-STA-0969.
UAT-7290 incluso implementa una puerta trasera llamamiento Bulbature que está diseñada para modificar un dispositivo de borde comprometido en un ORB. Sekoia lo documentó por primera vez en octubre de 2024.
La compañía de ciberseguridad dijo que el actor de amenazas comparte superposiciones tácticas y de infraestructura con adversarios vinculados a China conocidos como Stone Panda y RedFoxtrot (incluso conocido como Nomad Panda).
“El actor de amenazas lleva a promontorio un registro profundo de las organizaciones objetivo ayer de aguantar a promontorio intrusiones. UAT-7290 aprovecha exploits de un día y fuerza bruta SSH específica del objetivo para comprometer los dispositivos periféricos de cara al notorio para obtener llegada auténtico y avanzar privilegios en los sistemas comprometidos”, dijeron los investigadores. “El actor parece abandonarse en un código de explotación de prueba de concepto adecuado públicamente en división de desarrollar el suyo propio”.
