Um grupo avançado de ameaças persistentes (APT) vinculado à China, identificado como UAT-9244, vem direcionando ataques a provedores de serviços de telecomunicações na América do Sul desde 2024.
O grupo compromete dispositivos que operam com Windows, Linux e equipamentos de borda de rede.
Pesquisadores do Cisco Talos indicam que o adversário está relacionado aos grupos hackers FamousSparrow e Tropic Trooper, embora seja monitorado como uma atividade independente.
Essa avaliação tem alta confiabilidade, baseada em semelhanças de ferramentas, táticas, técnicas e procedimentos (TTPs), além do perfil das vítimas observadas.
Apesar de o UAT-9244 compartilhar o mesmo perfil de alvos do grupo Salt Typhoon, não foi possível estabelecer uma conexão sólida entre esses dois clusters de atividade.
A campanha utiliza três famílias de malware ainda não documentadas: TernDoor, um backdoor para Windows; PeerTime, um backdoor para Linux que usa o protocolo BitTorrent; e BruteEntry, um scanner de força bruta responsável por montar uma infraestrutura de proxies chamada ORBs (Operational Relay Boxes).
O TernDoor é implantado por meio de DLL side-loading, utilizando o executável legítimo wsprint.exe para carregar código malicioso contido no arquivo BugSplatRc64.dll.
Essa DLL descriptografa e executa o payload final diretamente na memória, injetando-o no processo msiexec.exe.
O malware contém um driver Windows embutido, o WSPrint.sys, que possibilita terminar, suspender e retomar processos.
A persistência é garantida por meio de tarefas agendadas e alterações no Registro do Windows, que também são usadas para ocultar essas tarefas.
Além disso, o TernDoor permite a execução de comandos via shell remoto, inicia processos arbitrários, realiza leitura e gravação de arquivos, coleta informações do sistema e pode se auto-desinstalar.
O PeerTime é um backdoor ELF para Linux que atua em várias arquiteturas (ARM, AARCH, PPC, MIPS), indicando seu desenvolvimento para comprometer uma ampla gama de sistemas embarcados e dispositivos de rede comuns em ambientes de telecomunicações.
Foram identificadas duas versões do PeerTime: uma escrita em C/C++ e outra em Rust.
Presenças de strings de debug em chinês simplificado no binário sugerem sua origem.
O payload é descriptografado e carregado na memória, com o processo renomeado para parecer legítimo.
Esse backdoor baseado em ELF utiliza um modelo peer-to-peer (P2P) e se comunica via protocolo BitTorrent para troca de comandos com o servidor de comando e controle (C2), além de baixar e executar payloads a partir dos peers, usando BusyBox para gravar arquivos no host.
Por fim, o BruteEntry é composto por um binário instrumentador desenvolvido em Go e um componente de força bruta.
Sua função é transformar dispositivos comprometidos em nós de varredura, os chamados Operational Relay Boxes (ORBs).
Os dispositivos que executam o BruteEntry são usados para escanear novos alvos e realizar ataques de força bruta a serviços como SSH, Postgres e Tomcat.
Os resultados das tentativas de login são enviados ao C2 junto com o status e as observações das tarefas.
Em relatório técnico divulgado hoje, os pesquisadores da Cisco Talos detalham as capacidades desses três malwares, seus métodos de implantação e os mecanismos usados para manter a persistência nas máquinas infectadas.
Além disso, disponibilizam indicadores de compromisso (IoCs) relacionados às atividades do UAT-9244, que podem ajudar defensores a identificar e bloquear esses ataques precocemente.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...