Se ha observado que un actor de amenazas probablemente seguidor con China apunta a sectores de infraestructura críticos en América del Finalidad desde al menos el año pasado.
Cisco Talos, que está rastreando la actividad bajo el nombre UAT-8837lo evaluó como un actor de amenaza persistente vanguardia (APT) del trabazón con China con una confianza media basada en superposiciones tácticas con otras campañas montadas por actores de amenazas de la región.
La compañía de ciberseguridad señaló que el actor de amenazas tiene “la tarea principal de obtener comunicación auténtico a organizaciones de detención valencia”, según las tácticas, técnicas y procedimientos (TTP) y la actividad posterior al compromiso observada.
“A posteriori de obtener comunicación auténtico, ya sea mediante la explotación exitosa de servidores vulnerables o mediante el uso de credenciales comprometidas, UAT-8837 implementa predominantemente herramientas de código franco para cosechar información confidencial como credenciales, configuraciones de seguridad e información de dominio y Active Directory (AD) para crear múltiples canales de comunicación a sus víctimas”, agregó.
Se dice que UAT-8837 aprovechó más recientemente una vulnerabilidad crítica de día cero en Sitecore (CVE-2025-53690, puntuación CVSS: 9.0) para obtener comunicación auténtico, y la intrusión comparte similitudes de TTP, herramientas e infraestructura con una campaña detallada por Mandiant, propiedad de Google, en septiembre de 2025.
Si admisiblemente no está claro si estos dos clústeres son obra del mismo actor, sugiere que UAT-8837 puede tener comunicación a exploits de día cero para realizar ataques cibernéticos.
Una vez que el adversario obtiene un punto de apoyo en las redes objetivo, realiza un agradecimiento preliminar, seguido de deshabilitar RestrictedAdmin para el Protocolo de escritorio remoto (RDP), una característica de seguridad que garantiza que las credenciales y otros posibles del becario no estén expuestos a hosts remotos comprometidos.
Además se dice que UAT-8837 abre “cmd.exe” para realizar actividades prácticas con el teclado en el host infectado y descargar varios artefactos para permitir la post-explotación. Algunos de los artefactos notables incluyen:
- GoTokenTheft, para robar tokens de comunicación
- EarthWorm, para crear un túnel inverso en torno a servidores controlados por atacantes utilizando SOCKS
- DWAgent, para permitir el comunicación remoto persistente y el agradecimiento de Active Directory
- SharpHound, para compendiar información de Active Directory
- Impacket, para ejecutar comandos con privilegios elevados
- GoExec, una útil basada en Golang para ejecutar comandos en otros puntos finales remotos conectados adentro de la red de la víctima
- Rubeus, un conjunto de herramientas basado en C# para la interacción y el exceso de Kerberos
- Certipy, una útil para el descubrimiento y exceso de Active Directory
“UAT-8837 puede ejecutar una serie de comandos durante la intrusión para obtener información confidencial, como credenciales de organizaciones víctimas”, dijeron los investigadores Asheer Malhotra, Vitor Ventura y Brandon White.
“En una ordenamiento víctima, UAT-8837 exfiltró bibliotecas compartidas basadas en DLL relacionadas con los productos de la víctima, lo que aumenta la posibilidad de que estas bibliotecas puedan ser troyanizadas en el futuro. Esto crea oportunidades para comprometer la cautiverio de suministro y aplicar ingeniería inversa para encontrar vulnerabilidades en esos productos”.
La divulgación se produce una semana a posteriori de que Talos atribuyó a otro actor de amenazas del trabazón con China conocido como UAT-7290 a intrusiones centradas en el espionaje contra entidades en el sur de Asia y el sudeste de Europa utilizando familias de malware como RushDrop, DriveSwitch y SilentRaid.
En los últimos primaveras, las preocupaciones sobre los actores de amenazas chinos que apuntan a infraestructuras críticas han llevado a los gobiernos occidentales a emitir varias alertas. A principios de esta semana, agencias de inteligencia y ciberseguridad de Australia, Alemania, Países Bajos, Nueva Zelanda, Reino Unido y Estados Unidos advirtieron sobre las crecientes amenazas a los entornos de tecnología operativa (OT).
La preceptor ofrece un ámbito para diseñar, proteger y ejecutar la conectividad en sistemas OT, instando a las organizaciones a localizar la exposición, centralizar y estandarizar las conexiones de red, utilizar protocolos seguros, animar los límites de OT, avalar que toda la conectividad sea monitoreada y registrada, y evitar el uso de activos obsoletos que podrían aumentar el peligro de incidentes de seguridad.
“Se sabe que la conectividad OT expuesta e insegura es el objetivo de actores tanto oportunistas como mucho capaces”, dijeron las agencias. “Esta actividad incluye actores patrocinados por el estado que atacan activamente las redes de infraestructura franquista crítica (CNI). La amenaza no se limita solo a los actores patrocinados por el estado con incidentes recientes que muestran cómo los hacktivistas atacan de modo oportunista la infraestructura OT expuesta”.
