Um grupo de ameaça ligado à China, identificado como UAT-7290, tem sido associado a intrusões focadas em espionagem contra organizações na Ásia do Sul e no sudeste da Europa.
Segundo relatório divulgado hoje pela Cisco Talos, essa atividade ocorre desde pelo menos 2022 e se concentra principalmente em um reconhecimento técnico detalhado das vítimas antes do ataque.
O objetivo final é a implantação de malwares como RushDrop, DriveSwitch e SilentRaid.
Pesquisadores como Asheer Malhotra, Vitor Ventura e Brandon White destacam que, além de explorar profundamente as redes das vítimas, o UAT-7290 emprega táticas, técnicas e procedimentos (TTPs) que indicam a criação de nós chamados Operational Relay Box (ORBs).
Essa infraestrutura pode ser usada posteriormente por outros grupos ligados à China em operações maliciosas, sugerindo que o UAT-7290 atua tanto como grupo de espionagem quanto como facilitador de acesso inicial.
Os ataques têm como alvo principal provedores de telecomunicações na Ásia do Sul, mas ondas recentes de intrusão também atingiram organizações no sudeste da Europa.
A metodologia do UAT-7290 é diversificada, combinando malwares open source, ferramentas personalizadas e payloads que exploram vulnerabilidades 1-day em produtos populares de edge networking.
Entre os implantes para Windows usados pelo grupo estão RedLeaves (também conhecido como BUGJUICE) e ShadowPad, ambos associados exclusivamente a grupos hackers chineses.
No entanto, o foco principal do ator está numa suíte de malwares para Linux, que inclui:
- RushDrop (também chamado ChronosRAT), um dropper que inicia a cadeia de infecção;
- DriveSwitch, malware periférico utilizado para executar o SilentRaid na máquina infectada;
- SilentRaid (ou MystRodX), um implante em C++ que garante acesso persistente aos sistemas comprometidos, adotando um modelo de plugins para comunicação com servidores externos, abertura de shell remoto, configuração de port forwarding e operações de arquivos.
Uma análise anterior da QiAnXin XLab indicou que MystRodX seria uma variante do ChronosRAT, um binário modular ELF capaz de executar shellcode, gerenciar arquivos, realizar keylogging, port forwarding, abrir shells remotos, capturar telas e atuar como proxy.
Já a Palo Alto Networks rastreia esse cluster sob o codinome CL-STA-0969.
Outro componente usado pelo UAT-7290 é o backdoor Bulbature, projetado para transformar dispositivos edge comprometidos em nós ORBs.
Essa ferramenta foi documentada pela primeira vez pela Sekoia em outubro de 2024.
A empresa de cibersegurança ressaltou que o grupo compartilha semelhanças táticas e de infraestrutura com adversários ligados à China, como Stone Panda e RedFoxtrot (também conhecido como Nomad Panda).
Segundo os pesquisadores, o UAT-7290 realiza amplo reconhecimento das organizações-alvo antes de executar as invasões.
Para obter acesso inicial, o grupo explora vulnerabilidades 1-day e utiliza força bruta em SSH em dispositivos públicos de edge, permitindo elevação de privilégios nos sistemas comprometidos.
Vale destacar que o ator tende a usar códigos de exploit proof-of-concept disponíveis publicamente, em vez de desenvolver suas próprias ferramentas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...